Проблемы системы безопасности, устраняемые обновлением iOS 12.4.2
В этой статье описываются проблемы системы безопасности, устраняемые обновлением iOS 12.4.2.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.
В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.
Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple.
iOS 12.4.2
Дата выпуска: 26 сентября 2019 г.
Платформа
Целевые продукты: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 и iPod touch (6-го поколения)
Воздействие. Удаленный злоумышленник может вызвать неожиданное завершение работы программы или выполнить произвольный код.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2019-8641: Самуэль Гросс (Samuel Groß) и Натали Сильванович (Natalie Silvanovich) из подразделения Google Project Zero
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.Дата публикации:
Сведения о проблемах системы безопасности, устраняемых обновлением iOS 12.4
Bluetooth
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения и более поздние модели)
Воздействие. Злоумышленник с привилегированным положением в сети может перехватывать трафик Bluetooth (согласование общего ключа Bluetooth — KNOB).
Описание. Возникала проблема проверки ввода Bluetooth. Эта проблема устранена путем улучшенной проверки ввода.
CVE-2019-9506: Даниэле Антониоли (Daniele Antonioli) из SUTD (Сингапур), доктор Нильс Оле Типпенхауэр (Nils Ole Tippenhauer) из CISPA (Германия) и профессор Каспер Расмуссен (Kasper Rasmussen) из Оксфордского университета (Англия)
Запись добавлена 13 августа 2019 г.
Core Data
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения и более поздние модели)
Воздействие. Злоумышленник может удаленно инициировать утечку памяти.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2019-8646: Натали Сильванович (Natalie Silvanovich) из подразделения Google Project Zero
Core Data
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения и более поздние модели)
Воздействие. Удаленный злоумышленник может вызвать выполнение произвольного кода.
Описание. Проблема с использованием памяти после ее освобождения устранена путем улучшенного управления памятью.
CVE-2019-8647: Самуэль Гросс (Samuel Groß) и Натали Сильванович (Natalie Silvanovich) из подразделения Google Project Zero
Core Data
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения и более поздние модели)
Воздействие. Удаленный злоумышленник может вызвать неожиданное завершение работы программы или выполнить произвольный код.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.
CVE-2019-8660: Самуэль Гросс (Samuel Groß) и Натали Сильванович (Natalie Silvanovich) из подразделения Google Project Zero
FaceTime
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения и более поздние модели)
Воздействие. Удаленный злоумышленник может вызвать выполнение произвольного кода.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.
CVE-2019-8648: Тао Хуан (Tao Huang) и Тилей Ван (Tielei Wang) из группы Pangu
Обнаружено в программах
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения и более поздние модели)
Воздействие. Злоумышленник может удаленно инициировать утечку памяти.
Описание. Проблема устранена путем улучшенных проверок.
CVE-2019-8663: Натали Сильванович (Natalie Silvanovich) из подразделения Google Project Zero
Heimdal
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения и более поздние модели)
Воздействие. Из-за ошибки в программном обеспечении Samba злоумышленники могли выполнять несанкционированные действия путем перехвата данных, передаваемых между службами.
Описание. Проблема устранена путем улучшенных проверок, чтобы предотвратить несанкционированные действия.
CVE-2018-16860: Исаак Букрис (Isaac Boukris) и Эндрю Бартлетт (Andrew Bartlett) из групп Samba и Catalyst
Обработка изображений
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения и более поздние модели)
Воздействие. Обработка вредоносного изображения может приводить к отказу в обслуживании.
Описание. Проблема отказа в обслуживании устранена путем улучшенной проверки.
CVE-2019-8668: анонимный исследователь
Запись добавлена 8 октября 2019 г.
Библиотека libxslt
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения и более поздние модели)
Воздействие. Удаленный злоумышленник может просматривать конфиденциальную информацию.
Описание. Переполнение стека устранено путем улучшенной проверки ввода.
CVE-2019-13118: обнаружено с помощью инструмента OSS-Fuzz.
Сообщения
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения и более поздние модели)
Воздействие. Удаленный злоумышленник может вызвать неожиданное завершение работы программы
Описание. Проблема отказа в обслуживании устранена путем улучшенной проверки.
CVE-2019-8665: Майкл Эрнандес (Michael Hernandez) из XYZ Marketing
Профили
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения и более поздние модели)
Воздействие. Вредоносная программа может ограничивать доступ к веб-сайтам.
Описание. При подтверждении прав возникала проблема проверки. Проблема устранена посредством улучшенной проверки процесса подтверждения прав.
CVE-2019-8698: Люк Десхотелс (Luke Deshotels), Джордан Байхлер (Jordan Beichler) и Уильям Энк (William Enck) из Университета штата Северная Каролина, а также Костин Карабаш (Costin Carabaș) и Разван Диаконеску (Răzvan Deaconescu) из Политехнического университета Бухареста
Быстрый просмотр
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения и более поздние модели)
Воздействие. Злоумышленник может использовать память после освобождения в программе путем десериализации недоверенного класса NSDictionary.
Описание. Проблема устранена путем улучшенных проверок.
CVE-2019-8662: Натали Сильванович (Natalie Silvanovich) и Самуэль Гросс (Samuel Groß) из подразделения Google Project Zero
Siri
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения и более поздние модели)
Воздействие. Злоумышленник может удаленно инициировать утечку памяти.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2019-8646: Натали Сильванович (Natalie Silvanovich) из подразделения Google Project Zero
Телефония
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения и более поздние модели)
Воздействие. Пользователь, инициирующий телефонный вызов, может инициировать одновременный ответ абонента на вызов в программе «Рация».
Описание. При ответе на телефонные вызовы возникала логическая ошибка. Эта проблема устранена путем улучшенного управления состояниями.
CVE-2019-8699: Мариус Александру Боэру (Marius Alexandru Boeru, @mboeru) и анонимный исследователь
Запись обновлена 25 июля 2019 г.
UIFoundation
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения и более поздние модели)
Воздействие. Анализ вредоносного документа Office может приводить к неожиданному завершению работы программы или выполнению произвольного кода.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2019-8657: пользователь riusksk из VulWar Corp, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
Визитка
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения и более поздние модели)
Воздействие. Пользователь может случайно совершить покупку в программе с экрана блокировки.
Описание. Проблема устранена посредством улучшенной обработки пользовательского интерфейса.
CVE-2019-8682: Джеф Брасуэлл (Jeff Braswell, JeffBraswell.com)
WebKit
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения и более поздние модели)
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению универсальных межсайтовых сценариев.
Описание. При обработке загрузок документов возникала логическая ошибка. Проблема устранена путем улучшенного управления состояниями.
CVE-2019-8690: Сергей Глазунов (Sergei Glazunov) из подразделения Google Project Zero
WebKit
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения и более поздние модели)
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению универсальных межсайтовых сценариев.
Описание. При обработке синхронных загрузок страниц возникала логическая ошибка. Проблема устранена путем улучшенного управления состояниями.
CVE-2019-8649: Сергей Глазунов (Sergei Glazunov) из подразделения Google Project Zero
WebKit
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения и более поздние модели)
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению универсальных межсайтовых сценариев.
Описание. Логическая проблема устранена путем улучшенного управления состояниями.
CVE-2019-8658: пользователь akayn, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
WebKit
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения и более поздние модели)
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки памяти.
CVE-2019-8644: Дж. Джешев (G. Geshev), сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
CVE-2019-8666: Цунмин Ван (Zongming Wang, 王宗明) и Чже Цзинь (Zhe Jin, 金哲) из центра компании Qihoo 360 Technology Co. Ltd. по реагированию на инциденты, связанные с безопасностью, в Чэнду
CVE-2019-8669: пользователь akayn, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
CVE-2019-8671: специалисты Apple
CVE-2019-8672: Самуэль Гросс (Samuel Groß) из подразделения Google Project Zero
CVE-2019-8673: Соён Парк (Soyeon Park) и Вэнь Сюй (Wen Xu) из подразделения SSLab Технологического института Джорджии
CVE-2019-8676: Соён Парк (Soyeon Park) и Вэнь Сюй (Wen Xu) из подразделения SSLab Технологического института Джорджии
CVE-2019-8677: Цзихуэй Лу (Jihui Lu) из отдела Tencent в KeenLab
CVE-2019-8678: Энтони Лай (Anthony Lai, @darkfloyd1014) из Knownsec, Кен Вонг (Ken Wong, @wwkenwong) из VXRL, Чонхун Шин (Jeonghoon Shin, @singi21a) из Theori, Джонни Ю (Johnny Yu, @straight_blast), Крис Чан (Chris Chan, @dr4g0nfl4me) и Фил Мок (Phil Mok, @shadyhamsters) из VX Browser Exploitation Group, Алан Хо (Alan Ho, @alan_h0) из Knownsec, Байрон Вай (Byron Wai) из VX Browser Exploitation и пользователь P1umer из подразделения ADLab компании Venustech
CVE-2019-8679: Цзихуэй Лу (Jihui Lu) из отдела Tencent в KeenLab
CVE-2019-8680: Цзихуэй Лу (Jihui Lu) из отдела Tencent в KeenLab
CVE-2019-8681: Дж. Джешев (G. Geshev), сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
CVE-2019-8683: пользователь lokihardt из подразделения Google Project Zero
CVE-2019-8684: пользователь lokihardt из подразделения Google Project Zero
CVE-2019-8685: пользователь akayn, Донгчжуо Чжао (Dongzhuo Zhao), сотрудничающий с отделом ADLab в Venustech, Кен Вонг (Ken Wong, @wwkenwong) из VXRL, Энтони Лай (Anthony Lai, @darkfloyd1014) из VXRL и Эрик Лунг (Eric Lung, @Khlung1) из VXRL
CVE-2019-8686: Дж. Джешев (G. Geshev), сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
CVE-2019-8687: специалисты Apple
CVE-2019-8688: Инсу Юн (Insu Yun) из подразделения SSLab Технологического института Джорджии
CVE-2019-8689: пользователь lokihardt из подразделения Google Project Zero
Запись обновлена 11 сентября 2019г.
Проблемы системы безопасности, устраняемые обновлением ОС iOS 11.1
Дата выпуска: 31 октября 2017 г.
CoreText
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Обработка вредоносного текстового файла может приводить к неожиданному завершению работы программы.
Описание. Проблема отказа в обслуживании устранена путем улучшенной обработки памяти.
CVE-2017-13849: пользователь Ro из SAVSEC
Ядро
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Программа может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2017-13799: Люфен Ли (Lufeng Li) из группы Vulcan в Qihoo 360
Запись обновлена 10 ноября 2017 г.
Ядро
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Вредоносная программа может запоминать информацию о наличии на устройстве других программ и их работе.
Описание. Программа могла получить доступ к данным о процессах, которые находились в открытой области операционной системы. Проблема устранена путем ограничения скорости передачи.
CVE-2017-13852: Сяокуань Чжан (Xiaokuan Zhang) и Иньцянь Чжан (Yinqian Zhang) из Университета штата Огайо, Сюцян Ван (Xueqiang Wang) и Сяо Фен Ван (XiaoFeng Wang) из Индианского университета в Блумингтоне и Сяолун Бай (Xiaolong Bai) из университета Цинхуа
Запись добавлена 10 ноября 2017 г.
Сообщения
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Пользователь, у которого есть физический доступ к устройству iOS, может получить доступ к фотографиям с экрана блокировки.
Описание. Проблема с заблокированным экраном позволяла получить доступ к фотографиям на заблокированном устройстве посредством функции ответа сообщением. Проблема устранена путем улучшенного управления состояниями.
CVE-2017-13844: Мигель Альварадо (Miguel Alvarado) из iDeviceHelp INC
Siri
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Пользователь, у которого есть физический доступ к устройству iOS, может использовать Siri для просмотра уведомлений о содержимом, не отображаемом на экране блокировки.
Описание. Возникала проблема с разрешениями Siri. Проблема устранена путем улучшенной проверки разрешений.
CVE-2017-13805: Йигит Кан Йилмаз (Yiğit Can Yilmaz, @yilmazcanyigit), Айден Панхейзен (Ayden Panhuyzen, madebyayden.co)
Запись обновлена 14 июня 2018 г.
StreamingZip
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Вредоносный файл ZIP может изменять области файловой системы с ограниченным доступом.
Описание. Проблема с обработкой пути устранена путем улучшенной проверки.
CVE-2017-13804: пользователь @qwertyoruiopz из KJC Research Intl. S.R.L.
UIKit
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Непреднамеренное раскрытие символов в защищенном текстовом поле.
Описание. Символы, содержащиеся в защищенном текстовом поле, отображались в ходе событий смены фокуса. Эта проблема устранена путем улучшенного управления состояниями.
CVE-2017-7113: анонимный исследователь, Дурайамутан Харикришнан (Duraiamuthan Harikrishnan) из Tech Mahindra, Рикардо Сампайо (Ricardo Sampayo) из Bemo Ltd
WebKit
Целевые продукты: iPhone 5s и более поздние модели, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки памяти.
CVE-2017-13783: Айвен Фратрик (Ivan Fratric) из Google Project Zero
CVE-2017-13784: Айвен Фратрик (Ivan Fratric) из Google Project Zero
CVE-2017-13785: Айвен Фратрик (Ivan Fratric) из Google Project Zero
CVE-2017-13791: Айвен Фратрик (Ivan Fratric) из Google Project Zero
CVE-2017-13792: Айвен Фратрик (Ivan Fratric) из Google Project Zero
CVE-2017-13793: Ханул Чои (Hanul Choi), сотрудничающий с Trend Micro в рамках программы Zero Day Initiative
CVE-2017-13794: Айвен Фратрик (Ivan Fratric) из Google Project Zero
CVE-2017-13795: Айвен Фратрик (Ivan Fratric) из Google Project Zero
CVE-2017-13796: Айвен Фратрик (Ivan Fratric) из Google Project Zero
CVE-2017-13797: Айвен Фратрик (Ivan Fratric) из Google Project Zero
CVE-2017-13798: Айвен Фратрик (Ivan Fratric) из Google Project Zero
CVE-2017-13788: пользователь xisigr из отдела Xuanwu Lab компании Tencent (tencent.com)
CVE-2017-13802: Айвен Фратрик (Ivan Fratric) из Google Project Zero
CVE-2017-13803: пользователь chenqin (陈钦) из Ant-financial Light-Year Security
Запись обновлена 21 декабря 2017 г.
Wi-Fi
Целевые продукты: iPhone 8, iPhone 8 Plus и iPhone X
Не затрагиваемые продукты: iPhone 7, iPhone 7 Plus, iPhone 6s, iPhone 6s Plus, iPhone 6, iPhone 6 Plus, iPhone SE, iPhone 5s, iPad Air и более поздние модели, iPod touch (6-го поколения)
Воздействие. Злоумышленник, находящийся в радиусе действия сети Wi-Fi, может принудить клиенты WPA, выполняющие одноадресную рассылку, или клиенты PTK повторно использовать случайные числа (атаки на повторную установку ключей, KRACK).
Описание. При обработке переносов состояний возникала логическая ошибка. Проблема устранена путем улучшенного управления состояниями.
CVE-2017-13077: Мати Ванхеф (Mathy Vanhoef) из группы imec-DistriNet Левенского университета
CVE-2017-13078: Мати Ванхеф (Mathy Vanhoef) из группы imec-DistriNet Левенского университета
Запись обновлена 3 ноября 2017 г.
Wi-Fi
Целевые продукты: iPhone 7 и более поздние модели, iPad Pro (9,7 дюйма, начало 2016 г.) и более поздние модели
Воздействие. Злоумышленник, находящийся в радиусе действия сети Wi-Fi, может принудить клиенты WPA, выполняющие многоадресную рассылку/клиенты GTK повторно использовать случайные числа (атаки на повторную установку ключей, KRACK).
Описание. При обработке переносов состояний возникала логическая ошибка. Проблема устранена путем улучшенного управления состояниями.
CVE-2017-13080: Мати Ванхеф (Mathy Vanhoef) из группы imec-DistriNet Левенского университета
Запись обновлена 3 ноября 2017 г.
Сведения об обновлениях системы безопасности, устраняемых обновлением iOS 13.1.1 и iPadOS 13.1.1
В этой статье описываются проблемы системы безопасности, устраняемые обновлением iOS 13.1.1 и iPadOS 13.1.1.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.
В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.
Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple.
iOS 13.1.1 и iPadOS 13.1.1
Дата выпуска: 27 сентября 2019 г.
Изолированная среда
Целевые продукты: iPhone 6s и более поздние модели; iPad Air 2 и более поздние модели, iPad mini 4 и более поздние модели, а также iPod touch (7-го поколения)
Воздействие. Расширения для сторонних программ могут не получать корректные ограничений изолированной среды.
Описание. Логическая ошибка приводила к применению некорректных ограничений. Проблема устранена путем обновления логики для применения корректных ограничений.
CVE-2019-8779: специалисты Apple
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.
Дата публикации:
Сведения о проблемах системы безопасности, устраняемых обновлением iCloud 10.6 для Windows
Дата выпуска: 23 июля 2019 г.
Библиотека libxslt
Целевые продукты: Windows 10 и более поздних версий через магазин Microsoft Store
Воздействие. Удаленный злоумышленник может просматривать конфиденциальную информацию.
Описание. Переполнение стека устранено путем улучшенной проверки ввода.
CVE-2019-13118: обнаружено с помощью инструмента OSS-Fuzz.
WebKit
Целевые продукты: Windows 10 и более поздних версий через магазин Microsoft Store
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению универсальных межсайтовых сценариев.
Описание. Логическая проблема устранена путем улучшенного управления состояниями.
CVE-2019-8658: пользователь akayn, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
WebKit
Целевые продукты: Windows 10 и более поздних версий через магазин Microsoft Store
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению универсальных межсайтовых сценариев.
Описание. При обработке загрузок документов возникала логическая ошибка. Проблема устранена путем улучшенного управления состояниями.
CVE-2019-8690: Сергей Глазунов (Sergei Glazunov) из подразделения Google Project Zero
WebKit
Целевые продукты: Windows 10 и более поздних версий через магазин Microsoft Store
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки памяти.
CVE-2019-8644: Дж. Джешев (G. Geshev), сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
CVE-2019-8666: Цунмин Ван (Zongming Wang, 王宗明) и Чже Цзинь (Zhe Jin, 金哲) из центра компании Qihoo 360 Technology Co. Ltd. по реагированию на инциденты, связанные с безопасностью, в Чэнду
CVE-2019-8669: пользователь akayn, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
CVE-2019-8671: специалисты Apple
CVE-2019-8672: Самуэль Гросс (Samuel Groß) из подразделения Google Project Zero
CVE-2019-8673: Соён Парк (Soyeon Park) и Вэнь Сюй (Wen Xu) из подразделения SSLab Технологического института Джорджии
CVE-2019-8676: Соён Парк (Soyeon Park) и Вэнь Сюй (Wen Xu) из подразделения SSLab Технологического института Джорджии
CVE-2019-8677: Цзихуэй Лу (Jihui Lu) из отдела Tencent в KeenLab
CVE-2019-8678: Энтони Лай (Anthony Lai, @darkfloyd1014) из Knownsec, Кен Вонг (Ken Wong, @wwkenwong) из VXRL, Чонхун Шин (Jeonghoon Shin, @singi21a) из Theori, Джонни Ю (Johnny Yu, @straight_blast), Крис Чан (Chris Chan, @dr4g0nfl4me) и Фил Мок (Phil Mok, @shadyhamsters) из VX Browser Exploitation Group, Алан Хо (Alan Ho, @alan_h0) из Knownsec, Байрон Вай (Byron Wai) из VX Browser Exploitation и пользователь P1umer из подразделения ADLab компании Venustech
CVE-2019-8679: Цзихуэй Лу (Jihui Lu) из отдела Tencent в KeenLab
CVE-2019-8680: Цзихуэй Лу (Jihui Lu) из отдела Tencent в KeenLab
CVE-2019-8681: Дж. Джешев (G. Geshev), сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
CVE-2019-8683: пользователь lokihardt из подразделения Google Project Zero
CVE-2019-8684: пользователь lokihardt из подразделения Google Project Zero
CVE-2019-8685: пользователь akayn, Донгчжуо Чжао (Dongzhuo Zhao), сотрудничающий с отделом ADLab в Venustech, Кен Вонг (Ken Wong, @wwkenwong) из VXRL, Энтони Лай (Anthony Lai, @darkfloyd1014) из VXRL и Эрик Лунг (Eric Lung, @Khlung1) из VXRL
CVE-2019-8686: Дж. Джешев (G. Geshev), сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
CVE-2019-8687: специалисты Apple
CVE-2019-8688: Инсу Юн (Insu Yun) из подразделения SSLab Технологического института Джорджии
CVE-2019-8689: пользователь lokihardt из подразделения Google Project Zero
Запись обновлена 17 сентября 2019 г.
WebKit
Целевые продукты: Windows 10 и более поздних версий через магазин Microsoft Store
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению универсальных межсайтовых сценариев.
Описание. При обработке синхронных загрузок страниц возникала логическая ошибка. Проблема устранена путем улучшенного управления состояниями.
CVE-2019-8649: Сергей Глазунов (Sergei Glazunov) из подразделения Google Project Zero
Проблемы системы безопасности, устраняемые обновлением iTunes 12.7.2 для ОС Windows
Выпущено 6 декабря 2017 г.
Сервер APNS
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Злоумышленник с преимущественным положением в сети может отслеживать действия пользователя.
Описание. При использовании клиентских сертификатов возникала проблема конфиденциальности. Она была устранена путем исправления протокола.
CVE-2017-13864: команда FURIOUSMAC из Военно-морской академии США
Запись обновлена 21 декабря 2017 г.
Сеанс CFNetwork
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Программа может выполнять произвольный код с системными правами.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2017-7172: Ричард Чжу (Richard Zhu, fluorescence), сотрудничающий с Trend Micro по программе Zero Day Initiative
Запись добавлена 22 января 2018 г.
CoreFoundation
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Программа может получить повышенные привилегии.
Описание. Проблема с возникновением условия состязания устранена путем дополнительной проверки.
CVE-2017-7151: Сэмюэл Гросс (Samuel Groß, @5aelo)
Запись добавлена 18 октября 2018 г.
ICU
Доступно для: Windows 7 и более поздних версий
Воздействие. Программа может считывать данные из области памяти с ограниченным доступом.
Описание. Проблема целочисленного переполнения устранена путем улучшенной проверки ввода.
CVE-2017-15422: Юань Дэн (Yuan Deng) из отдела безопасности Ant-financial Light-Year
Запись добавлена 14 марта 2018 г.
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки памяти.
CVE-2017-13885: группа 360 Security, сотрудничающая с Trend Micro по программе Zero Day Initiative
Запись добавлена 22 января 2018 г.
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Ряд проблем повреждения памяти устранен путем улучшенной обработки памяти.
CVE-2017-7165: группа 360 Security, сотрудничающая с Trend Micro по программе Zero Day Initiative
Запись добавлена 22 января 2018 г.
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки памяти.
CVE-2017-13884: группа 360 Security, сотрудничающая с Trend Micro по программе Zero Day Initiative
Запись добавлена 22 января 2018 г.
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки памяти.
CVE-2017-7156: Юань Дэн (Yuan Deng) из отдела безопасности Ant-financial Light-Year
CVE-2017-7157: анонимный исследователь
CVE-2017-13856: Чонхун Шин (Jeonghoon Shin)
CVE-2017-13870: отдел безопасности Keen Security Lab (@keen_lab) в Tencent, сотрудничающий с Trend Micro по программе Zero Day Initiative
CVE-2017-7160: Ричард Чжу (Richard Zhu, fluorescence), сотрудничающий с Trend Micro по программе Zero Day Initiative
CVE-2017-13866: отдел безопасности Keen Security Lab (@keen_lab) в Tencent, сотрудничающий с Trend Micro по программе Zero Day Initiative
Запись обновлена 10 января 2018 г.
WebKit
Целевые продукты: Windows 7 и более поздней версии
Воздействие. Посещение вредоносного веб-сайта может привести к подмене пользовательского интерфейса.
Описание. Перенаправление ответов на страницу 401 (Unauthorized) могло позволить вредоносному веб-сайту некорректно отображать значок блокировки для смешанного содержимого. Проблема устранена путем улучшения отображения URL-адресов.
CVE-2017-7153: Джерри Десим (Jerry Decime)
Запись добавлена 11 января 2018 г.
Проблемы системы безопасности, устраняемые обновлением системы безопасности 2017-001
В этой статье описываются проблемы системы безопасности, устраняемые обновлением системы безопасности 2017-001.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.
Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple. Зашифровать информацию, передаваемую в Apple, можно с помощью PGP-ключа безопасности продуктов Apple.
В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.
Обновление системы безопасности 2017-001
Дата выпуска: 29 ноября 2017 г.
Служба каталогов
Целевые продукты: macOS High Sierra 10.13 и macOS High Sierra 10.13.1
Незатрагиваемые продукты: macOS Sierra 10.12.6 и более ранние версии
Воздействие. Злоумышленник может обойти процедуру аутентификации администратора без ввода пароля администратора.
Описание. При проверке учетных данных возникала логическая ошибка. Проблема устранена путем улучшенной проверки учетных данных.
CVE-2017-13872
Запись обновлена 29 ноября 2017 г.
Если вы недавно обновили macOS High Sierra 10.13 до версии 10.13.1, перезагрузите компьютер Mac, чтобы установить обновление системы безопасности. Можно также просмотреть отчет о системе (раздел со сведениями о программном обеспечении, список «Установки»). Если в нем есть строка MRTConfigData 1.27, ваш компьютер Mac уже защищен.
Чтобы проверить, установлено ли на компьютере Mac обновление системы безопасности 2017-001, выполните следующие действия.
- Запустите программу «Терминал» из подпапки «Утилиты» в папке «Программы».
- Введите
what /usr/libexec/opendirectorydи нажмите клавишу Return. - Если обновление системы безопасности 2017-001 успешно установлено, отобразится один из следующих номеров версий проекта:
opendirectoryd-483.1.5 для macOS High Sierra 10.13
opendirectoryd-483.20.7 для macOS High Sierra 10.13.1
Если для работы на компьютере Mac вам требуются права пользователя root, после установки этого обновления необходимо будет повторно активировать пользователя root и изменить его пароль.
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.
Дата публикации: