เกี่ยวกับเนื้อหาความปลอดภัยของ iCloud สำหรับ Windows 7.20

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ iCloud สำหรับ Windows 7.20

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

iCloud สำหรับ Windows 7.20

เปิดตัวเมื่อวันที่ 10 สิงหาคม 2020

CoreGraphics

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2020-9883: นักวิจัยนิรนาม, Mickey Jin จาก Trend Micro

เพิ่มรายการเมื่อวันที่ 21 กันยายน 2020 อัพเดทเมื่อวันที่ 15 ธันวาคม 2020

ImageIO

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-27933: Xingwei Lin จาก Ant-Financial Light-Year Security Lab

เพิ่มรายการเมื่อวันที่ 16 มีนาคม 2021

ImageIO

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: มีปัญหาบัฟเฟอร์ล้นแบบพอกพูนใน openEXR

คำอธิบาย: ปัญหาหลายประการใน openEXR ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2020-11758: Xingwei Lin จาก Ant-Financial Light-Year Security Lab

CVE-2020-11759: Xingwei Lin จาก Ant-Financial Light-Year Security Lab

CVE-2020-11760: Xingwei Lin จาก Ant-Financial Light-Year Security Lab

CVE-2020-11761: Xingwei Lin จาก Ant-Financial Light-Year Security Lab

CVE-2020-11762: Xingwei Lin จาก Ant-Financial Light-Year Security Lab

CVE-2020-11763: Xingwei Lin จาก Ant-Financial Light-Year Security Lab

CVE-2020-11764: Xingwei Lin จาก Ant-Financial Light-Year Security Lab

CVE-2020-11765: Xingwei Lin จาก Ant-Financial Light-Year Security Lab

เพิ่มรายการเมื่อวันที่ 8 กันยายน 2020

ImageIO

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2020-9871: Xingwei Lin จาก Ant-Financial Light-Year Security Lab

CVE-2020-9872: Xingwei Lin จาก Ant-Financial Light-Year Security Lab

CVE-2020-9874: Xingwei Lin จาก Ant-Financial Light-Year Security Lab

CVE-2020-9879: Xingwei Lin จาก Ant-Financial Light-Year Security Lab

CVE-2020-9936: Mickey Jin จาก Trend Micro

CVE-2020-9937: Xingwei Lin จาก Ant-Financial Light-Year Security Lab

ImageIO

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-9873: Xingwei Lin จาก Ant-Financial Light-Year Security Lab

CVE-2020-9938: Xingwei Lin จาก Ant-Financial Light-Year Security Lab

CVE-2020-9984: นักวิจัยนิรนาม

อัพเดทรายการเมื่อวันที่ 21 กันยายน 2020

ImageIO

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2020-9877: Xingwei Lin จาก Ant-Financial Light-Year Security Lab

ImageIO

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2020-9919: Mickey Jin จาก Trend Micro

ImageIO

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การเปิดไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมายหรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2020-9876: Mickey Jin จาก Trend Micro

ImageIO

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาจำนวนเต็มล้นได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-9875: Mickey Jin จาก Trend Micro

libxml2

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การประมวลผล XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2020-9926: พบโดย OSS-Fuzz

เพิ่มรายการเมื่อวันที่ 16 มีนาคม 2021

WebKit

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเป็นเหตุให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2020-9894: 0011 ที่ทำงานร่วมกับ Trend Micro Zero Day Initiative

WebKit

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจป้องกันไม่ให้บังคับใช้นโยบายความปลอดภัยคอนเทนต์

คำอธิบาย: มีปัญหาการเข้าถึงในนโยบายความปลอดภัยคอนเทนต์  ปัญหานี้ได้รับการแก้ไขด้วยการปรับปรุงการกำจัดการเข้าถึงให้ดียิ่งขึ้น

CVE-2020-9915: Ayoub AIT ELMOKHTAR จาก Noon

WebKit

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2020-9925: นักวิจัยนิรนาม

WebKit

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเป็นเหตุให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2020-9893: 0011 ที่ทำงานร่วมกับ Trend Micro Zero Day Initiative

CVE-2020-9895: Wen Xu จาก SSLab, Georgia Tech

WebKit

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: ผู้โจมตีที่ประสงค์ร้ายที่มีความสามารถในการอ่านและการเขียนข้อมูลโดยอำเภอใจอาจสามารถบายพาสการตรวจสอบตัวชี้ได้

คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น

CVE-2020-9910: Samuel Groß จาก Google Project Zero

การโหลดหน้า WebKit

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: ผู้โจมตีที่ประสงค์ร้ายอาจสามารถปกปิดปลายทางของ URL ได้

คำอธิบาย: ปัญหาการเข้ารหัส Unicode ใน URL ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2020-9916: Rakesh Mane (@RakeshMane10)

WebKit Web Inspector

มีให้สำหรับ: Windows 7 ขึ้นไป

ผลกระทบ: การคัดลอก URL จาก Web Inspector อาจส่งผลให้เกิดการป้อนคำสั่งได้

คำอธิบาย: มีปัญหาการป้อนคำสั่งใน Web Inspector ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงยกเลิกการใช้ให้ดียิ่งขึ้น

CVE-2020-9862: Ophir Lojkine (@lovasoa)

คำขอบคุณพิเศษ

ImageIO

เราขอขอบคุณสำหรับความช่วยเหลือจาก Xingwei Lin จาก Ant-Financial Light-Year Security Lab

เพิ่มรายการเมื่อวันที่ 21 กันยายน 2020

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: