เกี่ยวกับเนื้อหาความปลอดภัยของ iCloud สำหรับ Windows 7.8

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ iCloud สำหรับ Windows 7.8

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

iCloud สำหรับ Windows 7.8

เปิดตัวเมื่อวันที่ 30 ตุลาคม 2018

CoreCrypto

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: ผู้โจมตีอาจใช้จุดอ่อนในการทดสอบเบื้องต้นแบบ Miller-Rabin เพื่อระบุจำนวนไพร์มที่ไม่ถูกต้องได้

คำอธิบาย: มีปัญหาในวิธีการระบุจำนวนไพร์ม ปัญหานี้ได้รับการแก้ไขแล้วโดยใช้ฐานสมมุติฐานสำหรับการทดสอบไพร์ม

CVE-2018-4398: Martin Albrecht, Jake Massimo และ Kenny Paterson จาก Royal Holloway, University of London และ Juraj Somorovsky จาก Ruhr University, Bochum

ตัวอ่าน Safari

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การเปิดใช้งานคุณสมบัติตัวอ่านหน้าเว็บของ Safari บนหน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ให้ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2018-4374: Ryan Pickren (ryanpickren.com)

ตัวอ่าน Safari

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การเปิดใช้งานคุณสมบัติตัวอ่านหน้าเว็บของ Safari บนหน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ให้ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้

คำอธิบาย: มีปัญหาการแฝงสคริปต์ (Cross-site Scripting) ใน Safari ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ URL ให้ดียิ่งขึ้น

CVE-2018-4377: Ryan Pickren (ryanpickren.com)

WebKit

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4372: HyungSeok Han, DongHyeon Oh และ Sang Kil Cha จาก KAIST Softsec Lab, Korea

CVE-2018-4373: ngg, alippai, DirtYiCE, KT จาก Tresorit ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2018-4375: Yu Haiwan และ Wu Hongjun จาก Nanyang Technological University ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2018-4376: 010 ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2018-4382: lokihardt จาก Google Project Zero

CVE-2018-4386: lokihardt จาก Google Project Zero

CVE-2018-4392: zhunki จาก 360 ESG Codesafe Team

CVE-2018-4416: lokihardt จาก Google Project Zero

WebKit

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปฏิเสธบริการ

คำอธิบาย: ปัญหาทรัพยากรลดลงได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4409: Sabri Haddouche (@pwnsdx) จาก Wire Swiss GmbH

WebKit

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ด

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2018-4378: HyungSeok Han, DongHyeon Oh และ Sang Kil Cha จาก KAIST Softsec Lab เกาหลี, zhunki จาก 360 ESG Codesafe Team

อัพเดทรายการเมื่อวันที่ 18 ธันวาคม 2018

คำขอบคุณพิเศษ

ตัวอ่าน Safari

เราขอขอบคุณสำหรับความช่วยเหลือจาก Ryan Pickren (ryanpickren.com)

เพิ่มรายการเมื่อวันที่ 3 เมษายน 2019

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: