เกี่ยวกับเนื้อหาความปลอดภัยของ iCloud สำหรับ Windows 7.0

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ iCloud สำหรับ Windows 7.0

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

iCloud สำหรับ Windows 7.0

เปิดตัวเมื่อวันที่ 25 กันยายน 2017

CFNetwork

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13829: Niklas Baumstark และ Samuel Gro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2017-13833: Niklas Baumstark และ Samuel Gro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 10 พฤศจิกายน 2017

ImageIO

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

คำอธิบาย: มีปัญหาการเปิดเผยข้อมูลในการประมวลผลภาพดิสก์ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13831: Glen Carmichael

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017 อัพเดทรายการเมื่อวันที่ 10 พฤศจิกายน 2017

libxml2

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การประมวลผล XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-9049: Wei Lei และ Liu Yang - Nanyang Technological University in Singapore

เพิ่มรายการเมื่อวันที่ 18 ตุลาคม 2018

libxml2

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การประมวลผล XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7376: นักวิจัยนิรนาม

CVE-2017-5130: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 18 ตุลาคม 2018

libxml2

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การประมวลผล XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-9050: Mateusz Jurczyk (j00ru) จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 18 ตุลาคม 2018

libxml2

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การประมวลผล XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2018-4302: Gustavo Grieco

เพิ่มรายการเมื่อวันที่ 18 ตุลาคม 2018

SQLite

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7127: นักวิจัยนิรนาม

WebKit

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-7081: Apple

WebKit

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7087: Apple

CVE-2017-7091: Wei Yuan จาก Baidu Security Lab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2017-7092: Samuel Gro และ Niklas Baumstark ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro, Qixun Zhao (@S0rryMybad) จาก Qihoo 360 Vulcan Team

CVE-2017-7093: Samuel Gro และ Niklas Baumstark ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2017-7094: Tim Michaud (@TimGMichaud) จาก Leviathan Security Group

CVE-2017-7095: Wang Junjie, Wei Lei และ Liu Yang จาก Nanyang Technological University ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2017-7096: Wei Yuan จาก Baidu Security Lab

CVE-2017-7098: Felipe Freitas จาก Instituto Tecnológico de Aeronáutica

CVE-2017-7099: Apple

CVE-2017-7100: Masato Kinugawa และ Mario Heiderich จาก Cure53

CVE-2017-7102: Wang Junjie, Wei Lei และ Liu Yang จาก Nanyang Technological University

CVE-2017-7104: likemeng จาก Baidu Secutity Lab

CVE-2017-7107: Wang Junjie, Wei Lei และ Liu Yang จาก Nanyang Technological University

CVE-2017-7111: likemeng จาก Baidu Security Lab (xlab.baidu.com) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2017-7117: lokihardt จาก Google Project Zero

CVE-2017-7120: chenqin (陈钦) จาก Ant-financial Light-Year Security Lab

WebKit

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้

คำอธิบาย: มีปัญหาตรรกะในการจัดการแท็บหลัก ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2017-7089: Frans Rosén จาก Detectify, Anton Lopanitsyn จาก ONSEC

WebKit

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: คุกกี้ที่เป็นของต้นทางหนึ่งอาจถูกส่งไปที่ต้นทางอื่น

คำอธิบาย: มีปัญหาสิทธิ์อนุญาตในการจัดการคุกกี้ของเว็บเบราเซอร์ ปัญหานี้ได้รับการแก้ไขแล้วโดยการไม่ส่งคืนคุกกี้สำหรับรูปแบบ URL ที่กำหนดเองอีกต่อไป

CVE-2017-7090: Apple

WebKit

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การเข้าชมเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงแถบที่อยู่

คำอธิบาย: ปัญหาอินเทอร์เฟซผู้ใช้ไม่สอดคล้องได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2017-7106: Oliver Paukstadt จาก Thinking Objects GmbH (to.com)

WebKit

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการโจมตีแบบส่งลิงก์ฝังสคริปต์ให้ไปยังไซต์อื่น

คำอธิบาย: นโยบายการแคชแอพพลิเคชั่นอาจมีการปรับใช้อย่างไม่คาดคิด

CVE-2017-7109: avlidienbrunn

คำขอบคุณพิเศษ

WebKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Rayyan Bijoora (@Bijoora) จาก The City School, PAF Chapter

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: