เกี่ยวกับเนื้อหาความปลอดภัยของ iCloud สำหรับ Windows 10.9.3

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ iCloud สำหรับ Windows 10.9.3

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

iCloud สำหรับ Windows 10.9.3

libxml2

มีให้สำหรับ: Windows 10 และใหม่กว่าผ่านทาง Microsoft Store

ผลกระทบ: มีปัญหาหลายประการใน libxml2

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขนาดให้ดียิ่งขึ้น

CVE-2020-3910: LGTM.com

libxml2

มีให้สำหรับ: Windows 10 และใหม่กว่าผ่านทาง Microsoft Store

ผลกระทบ: มีปัญหาหลายประการใน libxml2

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2020-3909: LGTM.com

CVE-2020-3911: พบโดย OSS-Fuzz

WebKit

มีให้สำหรับ: Windows 10 และใหม่กว่าผ่านทาง Microsoft Store

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2020-3901: Benjamin Randazzo (@____benjamin)

WebKit

มีให้สำหรับ: Windows 10 และใหม่กว่าผ่านทาง Microsoft Store

ผลกระทบ: ต้นทางของการดาวน์โหลดอาจเชื่อมโยงกันอย่างไม่ถูกต้อง

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น

CVE-2020-3887: Ryan Pickren (ryanpickren.com)

WebKit

มีให้สำหรับ: Windows 10 และใหม่กว่าผ่านทาง Microsoft Store

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2020-3895: grigoritchy

CVE-2020-3900: Dongzhuo Zhao ที่ทำงานร่วมกับ ADLab จาก Venustech

WebKit

มีให้สำหรับ: Windows 10 และใหม่กว่าผ่านทาง Microsoft Store

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม

CVE-2020-3894: Sergei Glazunov จาก Google Project Zero

WebKit

มีให้สำหรับ: Windows 10 และใหม่กว่าผ่านทาง Microsoft Store

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2020-3897: Brendan Draper (@6r3nd4n) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

WebKit

มีให้สำหรับ: Windows 10 และใหม่กว่าผ่านทาง Microsoft Store

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ด

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2020-9783: Apple

WebKit

มีให้สำหรับ: Windows 10 และใหม่กว่าผ่านทาง Microsoft Store

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการใช้หน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2020-3899: พบโดย OSS-Fuzz

WebKit

มีให้สำหรับ: Windows 10 และใหม่กว่าผ่านทาง Microsoft Store

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการโจมตีแบบส่งลิงก์ฝังสคริปต์ให้ไปยังไซต์อื่น

คำอธิบาย: ปัญหาการตรวจสอบอินพุตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-3902: Yiğit Can YILMAZ (@yilmazcanyigit)

การโหลดหน้า WebKit

มีให้สำหรับ: Windows 10 และใหม่กว่าผ่านทาง Microsoft Store

ผลกระทบ: URL ของไฟล์อาจได้รับการประมวลผลไม่ถูกต้อง

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น

CVE-2020-3885: Ryan Pickren (ryanpickren.com)

คำขอบคุณพิเศษ

WebKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Emilio Cobos Álvarez จาก Mozilla, Samuel Groß จาก Google Project Zero, hearmen