เกี่ยวกับเนื้อหาความปลอดภัยของ iCloud สำหรับ Windows 7.7
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ iCloud สำหรับ Windows 7.7
เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
iCloud สำหรับ Windows 7.7
CFNetwork
มีให้สำหรับ: Windows 7 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2018-4126: Bruno Keith (@bkth_) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CoreFoundation
มีให้สำหรับ: Windows 7 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2018-4414: National Cyber Security Centre (NCSC) แห่งสหราชอาณาจักร
CoreFoundation
มีให้สำหรับ: Windows 7 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2018-4412: National Cyber Security Centre (NCSC) แห่งสหราชอาณาจักร
CoreText
มีให้สำหรับ: Windows 7 ขึ้นไป
ผลกระทบ: การประมวลผลไฟล์ข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2018-4347: Vasyl Tkachuk จาก Readdle
WebKit
มีให้สำหรับ: Windows 7 ขึ้นไป
ผลกระทบ: การโต้ตอบที่ไม่คาดคิดก่อให้เกิดความล้มเหลว ASSERT
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2018-4191: พบโดย OSS-Fuzz
WebKit
มีให้สำหรับ: Windows 7 ขึ้นไป
ผลกระทบ: ข้อผิดพลาดด้านความปลอดภัยเกี่ยวกับการข้ามต้นทางรวมถึงต้นทางของเฟรมที่เข้าถึง
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการลบข้อมูลต้นทางออก
CVE-2018-4311: Erling Alf Ellingsen (@steike)
WebKit
มีให้สำหรับ: Windows 7 ขึ้นไป
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2018-4316: crixer, Hanming Zhang (@4shitak4) จาก Qihoo 360 Vulcan Team
WebKit
มีให้สำหรับ: Windows 7 ขึ้นไป
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2018-4299: Samuel Groβ (saelo) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2018-4323: Ivan Fratric จาก Google Project Zero
CVE-2018-4328: Ivan Fratric จาก Google Project Zero
CVE-2018-4358: @phoenhex team (@bkth_ @5aelo @_niklasb) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2018-4359: Samuel Groß (@5aelo)
CVE-2018-4360: William Bowling (@wcbowling)
WebKit
มีให้สำหรับ: Windows 7 ขึ้นไป
ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดลักษณะการทำงานแบบข้ามต้นทางที่ไม่คาดคิด
คำอธิบาย: มีปัญหาข้ามต้นทางในองค์ประกอบ iframe ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการติดตามต้นทางในการรักษาความปลอดภัยให้ดียิ่งขึ้น
CVE-2018-4319: John Pettitt จาก Google
WebKit
มีให้สำหรับ: Windows 7 ขึ้นไป
ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจสามารถใช้สคริปต์ในบริบทของเว็บไซต์อื่นได้
คำอธิบาย: มีปัญหาการแฝงสคริปต์ (Cross-site Scripting) ใน Safari ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ URL ให้ดียิ่งขึ้น
CVE-2018-4309: นักวิจัยนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
WebKit
มีให้สำหรับ: Windows 7 ขึ้นไป
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2018-4197: Ivan Fratric จาก Google Project Zero
CVE-2018-4306: Ivan Fratric จาก Google Project Zero
CVE-2018-4312: Ivan Fratric จาก Google Project Zero
CVE-2018-4314: Ivan Fratric จาก Google Project Zero
CVE-2018-4315: Ivan Fratric จาก Google Project Zero
CVE-2018-4317: Ivan Fratric จาก Google Project Zero
CVE-2018-4318: Ivan Fratric จาก Google Project Zero
WebKit
มีให้สำหรับ: Windows 7 ขึ้นไป
ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจถอนข้อมูลภาพข้ามต้นทาง
คำอธิบาย: มีปัญหาการแฝงสคริปต์ (Cross-site Scripting) ใน Safari ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ URL ให้ดียิ่งขึ้น
CVE-2018-4345: Jun Kokatsu (@shhnjk)
WebKit
มีให้สำหรับ: Windows 7 ขึ้นไป
ผลกระทบ: การโต้ตอบที่ไม่คาดคิดก่อให้เกิดความล้มเหลว ASSERT
คำอธิบาย: ปัญหาการใช้หน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2018-4361: พบโดย OSS-Fuzz
CVE-2018-4474: พบโดย OSS-Fuzz
คำขอบคุณพิเศษ
SQLite
เราขอขอบคุณสำหรับความช่วยเหลือจาก Andreas Kurtz (@aykay) จาก NESO Security Labs GmbH
WebKit
เราขอขอบคุณสำหรับความช่วยเหลือจาก Cary Hartline, Hanming Zhang จาก 360 Vuclan team, Tencent Keen Security Lab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro และ Zach Malone จาก CA Technologies
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม