Проблемы системы безопасности, устраняемые обновлением «iCloud для Windows» 7.0

В этой статье описываются проблемы системы безопасности, устраняемые обновлением «iCloud для Windows» 7.0.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple. Зашифровать информацию, передаваемую в Apple, можно с помощью PGP-ключа безопасности продуктов Apple.

В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.

«iCloud для Windows» 7.0

CFNetwork

Целевые продукты: Windows 7 и более поздней версии

Воздействие. Программа может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-13829: Никлас Баумштарк (Niklas Baumstark) и Самуэль Гро (Samuel Gro), сотрудничающие с Trend Micro по программе Zero Day Initiative

CVE-2017-13833: Никлас Баумштарк (Niklas Baumstark) и Самуэль Гро (Samuel Gro), сотрудничающие с Trend Micro по программе Zero Day Initiative

ImageIO

Целевые продукты: Windows 7 и более поздней версии

Воздействие. Обработка вредоносного изображения может приводить к отказу в обслуживании.

Описание. При обработке образов дисков возникала проблема с раскрытием информации. Проблема устранена путем улучшенного управления памятью.

CVE-2017-13831: Глен Кармайкл (Glen Carmichael)

libxml2

Доступно для: Windows 7 и более поздних версий

Воздействие. Обработка вредоносного кода XML может приводить к неожиданному завершению работы программы или выполнению произвольного кода.

Описание. Проблема с использованием памяти после её освобождения устранена путем улучшенного управления памятью.

CVE-2017-9049: Вэй Лэй (Wei Lei) и Лю Ян (Liu Yang) из Наньянского технологического университета в Сингапуре

libxml2

Доступно для: Windows 7 и более поздних версий

Воздействие. Обработка вредоносного кода XML может приводить к неожиданному завершению работы программы или выполнению произвольного кода.

Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.

CVE-2017-7376: анонимный исследователь

CVE-2017-5130: анонимный исследователь

libxml2

Доступно для: Windows 7 и более поздних версий

Воздействие. Обработка вредоносного кода XML может приводить к неожиданному завершению работы программы или выполнению произвольного кода.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2017-9050: Матеуш Юрчик (Mateusz Jurczyk, j00ru) из Google Project Zero

libxml2

Доступно для: Windows 7 и более поздних версий

Воздействие. Обработка вредоносного кода XML может приводить к неожиданному завершению работы программы или выполнению произвольного кода.

Описание. Проблема разыменования нулевого указателя устранена путем улучшения процедуры проверки.

CVE-2018-4302: Густаво Гриеко (Gustavo Grieco)

SQLite

Целевые продукты: Windows 7 и более поздней версии

Воздействие. Программа может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-7127: анонимный исследователь

WebKit

Целевые продукты: Windows 7 и более поздней версии

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2017-7081: компания Apple

WebKit

Целевые продукты: Windows 7 и более поздней версии

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки памяти.

CVE-2017-7087: компания Apple

CVE-2017-7091: Вэй Юань (Wei Yuan) из лаборатории Baidu Security Lab, сотрудничающей с Trend Micro по программе Zero Day Initiative

CVE-2017-7092: Самуэль Гро (Samuel Gro) и Никлас Баумштарк (Niklas Baumstark), сотрудничающие с Trend Micro по программе Zero Day Initiative, Цисюнь Чжао (Qixun Zhao, @S0rryMybad) из группы Vulcan в Qihoo 360

CVE-2017-7093: Самуэль Гро (Samuel Gro) и Никлас Баумштарк (Niklas Baumstark), сотрудничающие с Trend Micro по программе Zero Day Initiative

CVE-2017-7094: Тим Мичауд (Tim Michaud, @TimGMichaud) из группы Leviathan Security

CVE-2017-7095: Ван Цзюньцзе (Wang Junjie), Вэй Лэй (Wei Lei) и Лю Ян (Liu Yang) из Наньянского технологического университета, сотрудничающего с Trend Micro по программе Zero Day Initiative

CVE-2017-7096: Вэй Юань (Wei Yuan) из лаборатории Baidu Security Lab

CVE-2017-7098: Фелипе Фрейтас (Felipe Freitas) из Instituto Tecnológico de Aeronáutica

CVE-2017-7099: компания Apple

CVE-2017-7100: Масато Кинугава (Masato Kinugawa) и Марио Хайдерих (Mario Heiderich) из Cure53

CVE-2017-7102: Ван Цзюньцзе (Wang Junjie), Вэй Лэй (Wei Lei) и Лю Ян (Liu Yang) из Наньянского технологического университета

CVE-2017-7104: пользователь likemeng из лаборатории Baidu Security Lab

CVE-2017-7107: Ван Цзюньцзе (Wang Junjie), Вэй Лэй (Wei Lei) и Лю Ян (Liu Yang) из Наньянского технологического университета

CVE-2017-7111: пользователь likemeng из лаборатории Baidu Security Lab (xlab.baidu.com), сотрудничающей с Trend Micro по программе Zero Day Initiative

CVE-2017-7117: пользователь lokihardt из Google Project Zero

CVE-2017-7120: пользователь chenqin (陈钦) из Ant-financial Light-Year Security Lab

WebKit

Целевые продукты: Windows 7 и более поздней версии

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению универсальных межсайтовых сценариев.

Описание. При обработке родительской вкладки возникала логическая ошибка. Проблема устранена путем улучшенного управления состояниями.

CVE-2017-7089: Франс Розен (Frans Rosén) из Detectify, Антон Лопаницын (Anton Lopanitsyn) из ONSEC

WebKit

Целевые продукты: Windows 7 и более поздней версии

Воздействие. Файлы cookie, принадлежащие одному источнику, могут быть отправлены другому.

Описание. При обработке переменной геопозиции возникала проблема с обработкой файлов cookie в веб-браузере. Проблема устранена путем ввода запрета на возврат файлов cookie для пользовательских схем URL-адресов.

CVE-2017-7090: компания Apple

WebKit

Целевые продукты: Windows 7 и более поздней версии

Воздействие. Посещение вредоносного веб-сайта может приводить к подмене адресной строки.

Описание. Проблема с единообразием пользовательского интерфейса устранена путем улучшенного управления состояниями.

CVE-2017-7106: Оливер Покстадт (Oliver Paukstadt) из Thinking Objects GmbH (to.com)

WebKit

Целевые продукты: Windows 7 и более поздней версии

Воздействие. Обработка вредоносного веб-содержимого может приводить к атаке с использованием межсайтовых сценариев.

Описание. Существовала вероятность неожиданного применения политики кэша программы.

CVE-2017-7109: пользователь avlidienbrunn

Дополнительные благодарности

WebKit

Выражаем благодарность за помощь Райану Биджооре (Rayyan Bijoora, @Bijoora) из The City School, PAF Chapter.