Сведения о проблемах безопасности, устраняемых обновлением iCloud для Windows 11.2

В этом документе описаны проблемы системы безопасности, устраняемые обновлением iCloud для Windows 11.2.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.

Дополнительную информацию о безопасности см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

iCloud для Windows 11.2

Дата выпуска: 26 мая 2020 г.

ImageIO

Целевые продукты: Windows 10 и более поздних версий (через магазин Microsoft Store)

Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2020-9789: Венчао Ли (Wenchao Li) из VARAS@IIE

CVE-2020-9790: Синвэй Лин (Xingwei Lin) из компании Ant-financial Light-Year Security Lab

ImageIO

Целевые продукты: Windows 10 и более поздних версий (через магазин Microsoft Store)

Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2020-3878: Самуэль Гросс (Samuel Groß) из подразделения Google Project Zero

SQLite

Целевые продукты: Windows 10 и более поздних версий (через магазин Microsoft Store)

Воздействие. Вредоносное приложение может вызывать отказ в обслуживании или потенциально раскрыть содержимое памяти.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2020-9794

WebKit

Целевые продукты: Windows 10 и более поздних версий (через магазин Microsoft Store)

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема с логикой устранена путем улучшения ограничений.

CVE-2020-9802: Самуэль Гросс (Samuel Groß) из подразделения Google Project Zero

WebKit

Целевые продукты: Windows 10 и более поздних версий (через магазин Microsoft Store)

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению универсальных межсайтовых сценариев.

Описание. Проблема с логикой устранена путем улучшения ограничений.

CVE-2020-9805: анонимный исследователь

WebKit

Целевые продукты: Windows 10 и более поздних версий (через магазин Microsoft Store)

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема смешения типов устранена путем улучшенной обработки обращений к памяти.

CVE-2020-9800: Брендан Дрэйпер (Brendan Draper, @6r3nd4n), сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

WebKit

Целевые продукты: Windows 10 и более поздних версий (через магазин Microsoft Store)

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенного управления состояниями.

CVE-2020-9806: Вэнь Сюй (Wen Xu) из подразделения SSLab Технологического института Джорджии

CVE-2020-9807: Вэнь Сюй (Wen Xu) из подразделения SSLab Технологического института Джорджии

WebKit

Целевые продукты: Windows 10 и более поздних версий (через магазин Microsoft Store)

Воздействие. Удаленный злоумышленник может вызвать выполнение произвольного кода.

Описание. Проблема с логикой устранена путем улучшения ограничений.

CVE-2020-9850: @jinmo123, @setuid0x0_ и @insu_yun_en из @SSLab_Gatech, сотрудничающие с компанией Trend Micro в рамках программы Zero Day Initiative

WebKit

Целевые продукты: Windows 10 и более поздних версий (через магазин Microsoft Store)

Воздействие. Обработка вредоносного веб-содержимого может приводить к атаке с использованием межсайтовых сценариев.

Описание. Проблема проверки ввода устранена путем улучшенной проверки ввода.

CVE-2020-9843: Райан Пикрен (Ryan Pickren, ryanpickren.com)

WebKit

Целевые продукты: Windows 10 и более поздних версий (через магазин Microsoft Store)

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки.

CVE-2020-9803: Вэнь Сюй (Wen Xu) из подразделения SSLab Технологического института Джорджии

Дополнительные благодарности

ImageIO

Благодарим за помощь Лей Сун (Lei Sun).

WebKit

Благодарим за помощь Эйдана Данлапа (Aidan Dunlap) из Техасского университета в Остине.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: