Obsah zabezpečenia v aplikácii iCloud pre Windows 7.7

V tomto dokumente sa popisuje obsah zabezpečenia v aplikácii iCloud pre Windows 7.7.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.

Ďalšie informácie o zabezpečení nájdete na stránke týkajúcej sa zabezpečenia produktov Apple. Komunikáciu so spoločnosťou Apple môžete zašifrovať pomocou kľúča PGP zabezpečenia produktov Apple.

Ak je to možné, dokumenty spoločnosti Apple týkajúce sa zabezpečenia odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

iCloud pre Windows 7.7

Vydané 8. októbra 2018

CFNetwork

Dostupné pre: Windows 7 a novší

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2018-4126: Bruno Keith (@bkth_) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Dátum pridania záznamu: 30. októbra 2018

CoreFoundation

Dostupné pre: Windows 7 a novší

Dopad: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2018-4414: Národné centrum Spojeného kráľovstva pre kybernetickú bezpečnosť (NCSC)

Dátum pridania záznamu: 30. októbra 2018

CoreFoundation

Dostupné pre: Windows 7 a novší

Dopad: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2018-4412: Národné centrum Spojeného kráľovstva pre kybernetickú bezpečnosť (NCSC)

Dátum pridania záznamu: 30. októbra 2018

CoreText

Dostupné pre: Windows 7 a novší

Dopad: Spracovanie textového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s použitím po uvoľnení, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2018-4347: Vasyl Tkachuk zo spoločnosti Readdle

Dátum pridania záznamu: 30. októbra 2018, dátum aktualizovania: 18. decembra 2018

WebKit

Dostupné pre: Windows 7 a novší

Dopad: Neočakávaná interakcia spôsobovala zlyhanie ASSERT

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.

CVE-2018-4191: Nájdené programom OSS-Fuzz

WebKit

Dostupné pre: Windows 7 a novší

Dopad: Chyba SecurityErrors súvisiaca so zámenou pôvodu obsahovala informácie o pôvode používaného rámca

Tento problém bol vyriešený odstránením informácií o pôvode.

CVE-2018-4311: Erling Alf Ellingsen (@steike)

WebKit

Dostupné pre: Windows 7 a novší

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2018-4316: crixer, Hanming Zhang (@4shitak4) z tímu Qihoo 360 Vulcan

WebKit

Dostupné pre: Windows 7 a novší

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2018-4299: Samuel Groβ (saelo) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CVE-2018-4323: Ivan Fratric z tímu Google Project Zero

CVE-2018-4328: Ivan Fratric z tímu Google Project Zero

CVE-2018-4358: @phoenhex team (@bkth_, @5aelo a @_niklasb) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CVE-2018-4359: Samuel Groß (@5aelo)

CVE-2018-4360: William Bowling (@wcbowling)

Dátum aktualizovania záznamu: 24. októbra 2018

WebKit

Dostupné pre: Windows 7 a novší

Dopad: Webová stránka so škodlivým kódom môže spôsobiť neočakávané správanie využívajúce zámenu pôvodu

Popis: V prvkoch iframe dochádzalo k problému so zámenou pôvodu. Tento problém bol vyriešený vylepšením sledovania pôvodov zabezpečenia.

CVE-2018-4319: John Pettitt zo spoločnosti Google

WebKit

Dostupné pre: Windows 7 a novší

Dopad: Webová stránka so škodlivým kódom môže byť schopná spúšťať skripty v kontexte inej webovej lokality

Popis: V Safari dochádzalo k problému súvisiacemu so skriptovaním medzi lokalitami. Tento problém bol vyriešený vylepšením overovania URL adries.

CVE-2018-4309: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

WebKit

Dostupné pre: Windows 7 a novší

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s použitím po uvoľnení, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2018-4197: Ivan Fratric z tímu Google Project Zero

CVE-2018-4306: Ivan Fratric z tímu Google Project Zero

CVE-2018-4312: Ivan Fratric z tímu Google Project Zero

CVE-2018-4314: Ivan Fratric z tímu Google Project Zero

CVE-2018-4315: Ivan Fratric z tímu Google Project Zero

CVE-2018-4317: Ivan Fratric z tímu Google Project Zero

CVE-2018-4318: Ivan Fratric z tímu Google Project Zero

WebKit

Dostupné pre: Windows 7 a novší

Dopad: Webová stránka so škodlivým kódom môže stiahnuť dáta obrázkov z iného miesta

Popis: V Safari dochádzalo k problému súvisiacemu so skriptovaním medzi lokalitami. Tento problém bol vyriešený vylepšením overovania URL adries.

CVE-2018-4345: Jun Kokatsu (@shhnjk)

Dátum aktualizovania záznamu: 18. decembra 2018

WebKit

Dostupné pre: Windows 7 a novší

Dopad: Neočakávaná interakcia spôsobovala zlyhanie ASSERT

Popis: Dochádzalo k problému súvisiacemu so spotrebou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2018-4361: Nájdené programom OSS-Fuzz

CVE-2018-4474: Nájdené programom OSS-Fuzz

Dátum aktualizácie záznamu: 22. januára 2019

Ďalšie poďakovanie

SQLite

Poďakovanie za pomoc si zaslúži Andreas Kurtz (@aykay) zo spoločnosti NESO Security Labs GmbH.

WebKit

Poďakovanie za pomoc si zaslúžia Cary Hartline, Hanming Zhang z tímu 360 Vulcan, Tencent Keen Security Lab v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro a Zach Malone zo spoločnosti CA Technologies.

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Používanie internetu má svoje riziká. Ak potrebujete ďalšie informácie, obráťte sa na dodávateľa. Ďalšie názvy spoločností a produktov môžu byť ochrannými známkami príslušných vlastníkov.

Dátum zverejnenia: