Сведения о проблемах системы безопасности, устраняемых обновлением iCloud 7.18 для Windows
В этом документе описаны проблемы системы безопасности, устраняемые обновлением iCloud 7.18 для Windows.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.
В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.
Дополнительную информацию о безопасности см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.
iCloud 7.18 для Windows
libxml2
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обнаружен ряд проблем в библиотеке libxml2.
Описание. Проблема переполнения буфера устранена путем улучшенной проверки размера.
CVE-2020-3910: LGTM.com
libxml2
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обнаружен ряд проблем в библиотеке libxml2.
Описание. Проблема переполнения буфера решена посредством улучшенной проверки границ.
CVE-2020-3909: LGTM.com
CVE-2020-3911: обнаружено с помощью инструмента OSS-Fuzz
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема смешения типов устранена путем улучшенной обработки памяти.
CVE-2020-3901: Бенджамин Рандаццо (Benjamin Randazzo, @____benjamin)
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Источник загрузки может быть неверно ассоциирован.
Описание. Проблема с логикой устранена путем улучшения ограничений.
CVE-2020-3887: Райан Пикрен (Ryan Pickren, ryanpickren.com)
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки обращений к памяти.
CVE-2020-3895: grigoritchy
CVE-2020-3900: Донгчжуо Чжао (Dongzhuo Zhao), сотрудничающий с отделом ADLab в Venustech
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Приложение может считывать данные из области памяти с ограниченным доступом.
Описание. Проблема с возникновением условия состязания устранена путем дополнительной проверки.
CVE-2020-3894: Сергей Глазунов (Sergei Glazunov) из подразделения Google Project Zero
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению кода.
Описание. Проблема с использованием памяти после ее освобождения устранена путем улучшенного управления памятью.
CVE-2020-9783: Apple
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Удаленный злоумышленник может вызвать выполнение произвольного кода.
Описание. Проблема смешения типов устранена путем улучшенной обработки памяти.
CVE-2020-3897: Брендан Дрэйпер (Brendan Draper, @6r3nd4n), сотрудничающий с Trend Micro в рамках программы Zero Day Initiative
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Удаленный злоумышленник может вызвать выполнение произвольного кода.
Описание. Проблема с использованием памяти устранена путем улучшенной обработки памяти.
CVE-2020-3899: обнаружено с помощью инструмента OSS-Fuzz
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного веб-содержимого может приводить к атаке с использованием межсайтовых сценариев.
Описание. Проблема проверки ввода устранена путем улучшенной проверки ввода.
CVE-2020-3902: Йигит Кан Йилмаз (Yiğit Can YILMAZ, @yilmazcanyigit)
Загрузка страниц WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. URL-адрес файла может быть неправильно обработан.
Описание. Проблема с логикой устранена путем улучшения ограничений.
CVE-2020-3885: Райан Пикрен (Ryan Pickren, ryanpickren.com)
Дополнительные благодарности
WebKit
Благодарим за помощь Эмилио Кобоса Альвареса (Emilio Cobos Álvarez) из Mozilla, Сэмюэля Гросса (Samuel Groß) из подразделения Google Project Zero и исследователя hearmen.
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.