Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-nyckel från Apple Product Security.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
iTunes 12.9 för Windows
Släpptes 12 september 2018
CFNetwork
Tillgängligt för: Windows 7 och senare
Effekt: Ett program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2018-4126: Bruno Keith (@bkth_) i samarbete med Trend Micros Zero Day Initiative
Lades till 30 oktober 2018
CoreFoundation
Tillgängligt för: Windows 7 och senare
Effekt: Ett program kan få högre behörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2018-4414: NCSC (National Cyber Security Centre) i Storbritannien
Lades till 30 oktober 2018
CoreFoundation
Tillgängligt för: Windows 7 och senare
Effekt: Ett skadligt program kan öka behörigheter
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2018-4412: NCSC (National Cyber Security Centre) i Storbritannien
Lades till 30 oktober 2018
CoreText
Tillgängligt för: Windows 7 och senare
Effekt: Bearbetning av en skadlig textfil kan leda till opålitlig kodkörning
Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.
CVE-2018-4347: Vasyl Tkachuk på Readdle
Lades till 30 oktober 2018, uppdaterades 10 januari 2019
WebKit
Tillgängligt för: Windows 7 och senare
Effekt: Oväntad interaktion leder till ett ASSERT-fel
Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.
CVE-2018-4191: upptäcktes av OSS-Fuzz
WebKit
Tillgängligt för: Windows 7 och senare
Effekt: SecurityErrors från flera källor innehåller ursprunget för ramen som öppnas.
Beskrivning: Problemet åtgärdades genom att ta bort information om ursprung.
CVE-2018-4311: Erling Alf Ellingsen (@steike)
WebKit
Tillgängligt för: Windows 7 och senare
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.
CVE-2018-4316: crixer, Hanming Zhang (@4shitak4) på Qihoo 360 Vulcan Team
WebKit
Tillgängligt för: Windows 7 och senare
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-2018-4299: Samuel Groβ (saelo) i samarbete med Trend Micros Zero Day Initiative
CVE-2018-4323: Ivan Fratric på Google Project Zero
CVE-2018-4328: Ivan Fratric på Google Project Zero
CVE-2018-4358: @phoenhex team (@bkth_ @5aelo @_niklasb) i samarbete med Trend Micros Zero Day Initiative
CVE-2018-4359: Samuel Groß (@5aelo)
CVE-2018-4360: William Bowling (@wcbowling)
Uppdaterades 24 oktober 2018
WebKit
Tillgängligt för: Windows 7 och senare
Effekt: En webbplats med skadligt innehåll kan orsaka ett oväntat beteende med data från flera källor
Beskrivning: Ett problem med data från flera källor förekom i iframe-element. Problemet åtgärdades genom förbättrad spårning av säkerhetskällor.
CVE-2018-4319: John Pettitt på Google
WebKit
Tillgängligt för: Windows 7 och senare
Effekt: En skadligt utformad webbplats kan köra skript i samband med en annan webbplats
Beskrivning: Ett problem med skriptkörning över flera webbplatser hittades i Safari. Problemet har åtgärdats genom förbättrad URL-validering.
CVE-2018-4309: En anonym forskare i samarbete med Trend Micros Zero Day Initiative
WebKit
Tillgängligt för: Windows 7 och senare
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.
CVE-2018-4197: Ivan Fratric på Google Project Zero
CVE-2018-4306: Ivan Fratric på Google Project Zero
CVE-2018-4312: Ivan Fratric på Google Project Zero
CVE-2018-4314: Ivan Fratric på Google Project Zero
CVE-2018-4315: Ivan Fratric på Google Project Zero
CVE-2018-4317: Ivan Fratric på Google Project Zero
CVE-2018-4318: Ivan Fratric på Google Project Zero
WebKit
Tillgängligt för: Windows 7 och senare
Effekt: En skadlig webbplats kan komma åt bilddata från flera källor
Beskrivning: Ett problem med skriptkörning över flera webbplatser hittades i Safari. Problemet har åtgärdats genom förbättrad URL-validering.
CVE-2018-4345: Jun Kokatsu (@shhnjk)
Lades till 10 januari 2019
WebKit
Tillgängligt för: Windows 7 och senare
Effekt: Oväntad interaktion leder till ett ASSERT-fel
Beskrivning: Ett problem med minnesförbrukningen åtgärdades genom förbättrad minneshantering.
CVE-2018-4361: upptäcktes av OSS-Fuzz
CVE-2018-4474: upptäcktes av OSS-Fuzz
Uppdaterades 22 januari 2019
Ytterligare tack
SQLite
Vi vill tacka Andreas Kurtz (@aykay) på NESO Security Labs GmbH för deras hjälp.
WebKit
Vi vill tacka Cary Hartline, Hanming Zhang från 360 Vulcan-teamet, Tencent Keen Security Lab i samarbete med Trend Micros Zero Day Initiative och Zach Malone på CA Technologies för deras hjälp.