10/26~11/01 資安弱點威脅彙整週報

風險等級: 高度威脅
摘 要:

各大廠牌軟硬體高風險弱點摘要

廠牌 軟硬體型號 弱點數量 說明 CVE ID
apple airport_base_station_firmware 1 Apple 產品 AirPort Base Station輸入端驗證存在越界存取弱點。遠端攻擊者可利用該弱點導致記憶體洩漏 (Memory leak),該弱點已於更新 firmware 7.8.1(含)之後版本完成修補。 CVE-2019-8581
apple airport_base_station_firmware 1 Apple 產品 AirPort Base Station 記憶體管理存在使用後釋放弱點。遠端攻擊者可利用該弱點導致執行任意程式碼,該弱點已於更新 firmware 7.8.1(含)之後版本完成修補。 CVE-2019-8578
apple airport_base_station_firmware 1 Apple 產品 AirPort Base Station 輸入端驗證存在驅動空指標錯誤弱點。遠端攻擊者可利用該弱點導致執行任意程式碼,該弱點已於更新 firmware 7.8.1(含)之後版本完成修補。 CVE-2019-8572
apple airport_base_station_firmware 1 Apple 產品 AirPort Base Station 輸入端驗證存在驅動空指標錯誤弱點。遠端攻擊者可利用該弱點導致執行任意程式碼,該弱點已於更新 firmware 7.8.1(含)之後版本完成修補。 CVE-2019-8588
apple icloud 1 Apple 產品 iCloud
輸入端驗證存在越界存取弱點。遠端攻擊者可利用該弱點導致執行任意程式碼,該弱點已於多平台 masOS Catalina 10.15 (含)之後版本、iOS 13 (含)之後版本、iCloud (Windows 7.14)、iCloud (Windows 10.7)、tvOS 13 (含)之後版本、watchOS 6 (含)之後版本、iTunes 12.10.1 (含)之後版本 (Windows版)完成修補。
CVE-2019-8746
apple icloud 1 Apple 產品 iCloud
記憶體處理存在記憶體毀損的多個弱點。可能導致存取偽造網站時會執行任意程式碼,該弱點已於多平台 tvOS 13.3 (含)之後版本、iPadOS 13.3 (含)之後版本、iOS 13.3 (含)之後版本、iCloud (Windows 7.16)、iCloud (Windows
10.9)、Safari 13.0.4 (含)之後版本、iTunes 12.10.3 (含)之後版本 (Windows版)完成修補。
CVE-2019-8835
apple icloud 1 Apple 產品 iCloud 輸入端驗證存在記憶體毀損的多個弱點。該弱點主要存在 libxml2 函式庫,已於多平台 masOS Catalina 10.15 (含)之後版本、iOS 13 (含)之後版本、iCloud (Windows
7.14)、iCloud (Windows 10.7)、tvOS 13 (含)之後版本、watchOS 6 (含)之後版本、iTunes
12.10.1 (含)之後版本 (Windows版)完成修補。
CVE-2019-8749
apple icloud 1 Apple 產品 iCloud 輸入端驗證存在記憶體毀損的多個弱點。該弱點主要存在 libxml2 函式庫,已於多平台 masOS Catalina 10.15 (含)之後版本、iOS 13 (含)之後版本、iCloud (Windows
7.14)、iCloud (Windows 10.7)、tvOS 13 (含)之後版本、watchOS 6 (含)之後版本、iTunes
12.10.1 (含)之後版本 (Windows版)完成修補。
CVE-2019-8756
apple icloud 1 Apple 產品 iCloud
記憶體處理存在記憶體毀損的多個弱點。可能導致存取偽造網站時會執行任意程式碼,該弱點已於多平台 tvOS 13.3 (含)之後版本、watchOS 6.1.1 (含)之後版本、iPadOS 13.3 (含)之後版本、iOS 13.3
(含)之後版本、iCloud (Windows 7.16)、iCloud (Windows 10.9)、Safari 13.0.4
(含)之後版本、iTunes 12.10.3 (含)之後版本 (Windows版)完成修補。
CVE-2019-8844
apple icloud 1 Apple 產品 iCloud 輸入端驗證存在邏輯判讀弱點。可能導致 DOM 物件對映內文未有唯讀的安全性來源,該弱點已於多平台 tvOS 13.3.1 (含)之後版本、iPadOS 13.3.1 (含)之後版本、iOS 13.3.1 (含)之後版本、iCloud (Windows 7.17)、iCloud (Windows 10.9.2)、Safari
13.0.5 (含)之後版本、iTunes 12.10.4 (含)之後版本 (Windows版)完成修補。
CVE-2020-3864
apple icloud 1 Apple 產品 iCloud
記憶體管理存在使用後釋放弱點。可能導致存取偽造網站時會執行任意程式碼,該弱點已於多平台 tvOS 13.3 (含)之後版本、iPadOS 13.3 (含)之後版本、iOS 13.3 (含)之後版本、iCloud (Windows 7.16)、iCloud (Windows 10.9)、Safari 13.0.4 (含)之後版本、iTunes 12.10.3 (含)之後版本 (Windows版)完成修補。
CVE-2019-8846
apple ipad_os 1 Apple 產品 iPad OS 鎖定螢幕功能存在記憶體毀損弱點。該弱點可使特定 App取得系統權限並執行任意程式碼,已於多平台 tvOS 13 (含)之後版本、watchOS 6 (含)之後版本、iPadOS 13.1 (含)之後版本、iOS 13.1 (含)之後版本完成修補。 CVE-2019-8740
apple ipados 1 Apple 產品 iPad OS 輸入端驗證存在越界存取弱點。執行程序若藉 FaceTime 存取惡意影片連結時可能導致會執行任意程式碼,已於多平台 tvOS 13.3 (含)之後版本、masOS Catalina 10.15.2 (含)之後版本、watchOS 5.3.4 (含)之後版本、iPadOS 13.3 (含)之後版本、iOS 12.4.4
(含)之後版本完成修補。
CVE-2019-8830
apple ipados 1 Apple 產品 iPad OS 記憶體處理存在記憶體毀損弱點。該弱點可使特定 App取得系統權限並執行任意程式碼,已於多平台 tvOS 13.3 (含)之後版本、masOS Catalina 10.15.2
(含)之後版本、watchOS 5.3.4 (含)之後版本、iPadOS 13.3 (含)之後版本、iOS 13.3 (含)之後版本完成修補。
CVE-2019-8828
apple ipados 1 Apple 產品 iPad OS 程式碼改良易受攻擊的弱點。已於多平台 iPadOS 13.3 (含)之後版本、iOS 13.3 (含)之後版本完成修補。 CVE-2019-8841
apple ipados 1 Apple 產品 iPad OS
輸入端驗證存在越界存取弱點。執行程序若存取惡意圖片連結時可能導致會執行任意程式碼,已於多平台 tvOS 13.3.1(含)之後版本、masOS Catalina 10.15.3 (含)之後版本、watchOS 6.1.2 (含)之後版本、iPadOS
13.3.1 (含)之後版本、iOS 13.3.1 (含)之後版本完成修補。
CVE-2020-3880
apple ipados 1 Apple 多款產品存在安全弱點,該弱點源於記憶體損壞弱點,應用程式可以使用核心特權執行任意程式碼。 CVE-2019-8829
apple ipados 1 多款Apple產品中的Kernel元件存在安全弱點。攻擊者可利用該弱點以核心權限執行任意程式碼(記憶體損壞) CVE-2019-8838
apple ipados 1 Apple iOS 存在安全弱點,該弱點源於通過改進的邊界檢查解決了一個越界寫入問題。攻擊者可利用該弱點可能會導致意外的系統終止或寫入核心記憶體。 CVE-2020-9973
apple ipados 1 多款Apple產品中的Security元件存在安全弱點。攻擊者可利用該弱點以系統權限執行任意程式碼。 CVE-2019-8832
apple ipados 1 Apple tvOS 13之前版本、iOS 13.1之前版本和iPadOS 13.1之前版本中的UIFoundation元件存在緩衝區錯誤弱點。攻擊者可利用該弱點以系統權限執行任意程式碼。 CVE-2019-8831
apple ipados 1 多款Apple產品中的IOUSBDeviceFamily元件存在安全弱點。攻擊者可利用該弱點以核心權限執行任意程式碼(記憶體損壞) CVE-2019-8836
apple ipados 1 多款Apple產品中的Kernel元件存在安全弱點。攻擊者可利用該弱點以核心權限執行任意程式碼(記憶體損壞)。 CVE-2019-8833
apple iphone_os 1 Apple AirPort Base Station固件中存在安全弱點。遠端攻擊者可利用該弱點造成系統拒絕服務。 CVE-2019-8573
apple iphone_os 1 Apple tvOS 13之前版本、watchOS 6之前版本和iOS 13之前版本中的IOUSBDeviceFamily元件存在安全弱點。攻擊者可利用該弱點以核心權限執行任意程式碼。 CVE-2019-8718
apple iphone_os 1 多款Apple產品中的Kernel元件存在安全弱點。攻擊者可利用該弱點以核心權限執行任意程式碼。 CVE-2019-8709
apple iphone_os 1 Apple iOS 13.1之前版本、iPadOS 13.1之前版本和tvOS 13之前版本中的Kernel元件存在安全弱點。攻擊者可藉助惡意的應用程式利用該弱點確定核心記憶體佈局。 CVE-2019-8780
apple iphone_os 1 Apple macOS Catalina 10.15.1之前版本中的PluginKit元件存在安全弱點。攻擊者可利用該弱點以系統權限執行任意程式碼。 CVE-2019-8715
apple iphone_os 1 Apple 多款產品存在安全弱點,該弱點源於應用程式可以使用核心特權執行任意程式碼。 CVE-2019-8528
apple iphone_os 1 Apple 多款產品存在安全弱點,該弱點源於核心記憶體洩漏,攻擊者可利用該弱點可能會洩漏記憶體。 CVE-2019-8547
apple iphone_os 1 Apple 多款產品存在輸入驗證錯誤弱點,該弱點源於未對輸入的數據進行正確的驗證。 CVE-2019-8531
apple iphone_os 1 Apple iOS 13之前版本、watchOS 6之前版本和tvOS 13之前版本中的Kernel元件存在安全弱點。攻擊者可利用該弱點以系統權限執行任意程式碼。 CVE-2019-8712
apple iphone_os 1 Apple iOS 12.1.4之前版本和macOS Mojave 10.14.3版本中的Live Photos in FaceTime元件存在安全弱點。攻擊者可利用該弱點繞過安全限制。 CVE-2019-7288
apple iphone_os 1 Apple 多款產品存在安全弱點,該弱點源於應用程式可以使用核心特權執行任意程式碼。 CVE-2019-8525

apple mac_os_x 1 記憶體損壞問題已通過改進記憶體處理得到解決。 此問題已在macOS Catalina
10.15.1,安全更新2019-001和安全更新2019-006中修復。 應用程式可能能夠以系統特權執行任意程式碼。
CVE-2019-8716
apple mac_os_x 1 通過改進限制解決了邏輯問題。 此問題已在macOS Catalina 10.15.2,安全更新2019-002 Mojave和安全更新2019-007 High Sierra中修復。 惡意應用程式可能能夠訪問受限制的文件。 CVE-2019-8837
apple mac_os_x 1 記憶體損壞問題已通過改進記憶體處理得到解決。 此問題已在macOS Catalina
10.15.2,安全更新2019-002 Mojave和安全更新2019-007 High Sierra中修復。
應用程式可能能夠以內核特權執行任意程式碼。
CVE-2019-8852
apple mac_os_x 1 記憶體損壞問題已通過改進記憶體處理得到解決。 此問題已在macOS Catalina
10.15.2,安全更新2019-002 Mojave和安全更新2019-007 High Sierra中修復。
應用程式可能能夠以內核特權執行任意程式碼。
CVE-2019-8847
apple mac_os_x 1 改進狀態管理解決了記憶體損壞問題。 此問題已在macOS Catalina 10.15.1,安全更新2019-001和安全更新2019-006中修復。 應用程式可能能夠以內核特權執行任意程式碼。 CVE-2019-8824
apple mac_os_x 1 記憶體損壞問題已通過改進記憶體處理得到解決。 此問題已在macOS Catalina
10.15.3,安全更新2020-001 Mojave,安全更新2020-001 High Sierra中修復。
應用程式可能能夠以系統特權執行任意程式碼。
CVE-2020-3863
apple mac_os_x 1 通過改進記憶體處理解決了記憶體消耗問題。 此問題已在macOS Catalina
10.15.1,安全更新2019-001和安全更新2019-006,macOS Catalina 10.15中修復。
處理惡意製作的字符串可能會導致堆損壞。
CVE-2019-8767
apple mac_os_x 1 緩衝區溢出已通過改進邊界檢查得到解決。 此問題已在macOS Catalina
10.15.6,安全更新2020-004 Mojave,安全更新2020-004 High Sierra中修復。
緩衝區溢出可能導致任意程式碼執行。
CVE-2020-9866
apple mac_os_x 1 通過改進記憶體處理解決了記憶體初始化問題。 此問題已在macOS Mojave
10.14.6,安全更新2019-004 High Sierra,安全更新2019-004 Sierra中修復。
惡意應用程式可能能夠以系統特權執行任意程式碼。
CVE-2019-8539

apple mac_os_x 1 通過改進記憶體處理解決了記憶體消耗問題。 此問題已在macOS Mojave
10.14.3,安全更新2019-001 High Sierra,安全更新2019-001 Sierra,macOS Mojave
10.14.2,安全更新2018-003 High Sierra,安全更新2018-006 Sierra中修復。
惡意應用程式可能能夠以系統特權執行任意程式碼。
CVE-2018-4452
apple mac_os_x 1 存在邏輯問題,導致記憶體損壞。 通過改進狀態管理解決了這一問題。 此問題已在macOS Mojave
10.14.4,安全更新2019-002 High Sierra,安全更新2019-002 Sierra中修復。
惡意應用程式可能能夠以內核特權執行任意程式碼。
CVE-2019-8534
apple mac_os_x 1 此問題已在macOS Mojave 10.14中修復。 通過改進輸入驗證解決了記憶體損壞問題。 CVE-2018-4451
apple mac_os_x 1 記憶體損壞問題已通過改進記憶體處理得到解決。 此問題已在macOS Catalina 10.15中修復。
應用程式可能能夠以系統特權執行任意程式碼。
CVE-2019-8776
ibm i2_analysts_notebook 1 IBM i2 Analyst Notebook 9.2.0和9.2.1可能允許本地攻擊者在系統上執行由記憶體損壞引起的任意程式碼。
通過誘使受害者打開特製文件,攻擊者可以利用此弱點在系統上執行任意程式碼。
CVE-2020-4721
ibm i2_analysts_notebook 1 IBM i2 Analyst Notebook 9.2.0和9.2.1可能允許本地攻擊者在系統上執行由記憶體損壞引起的任意程式碼。
通過誘使受害者打開特製文件,攻擊者可以利用此弱點在系統上執行任意程式碼。
CVE-2020-4724
ibm i2_analysts_notebook 1 IBM i2 Analyst Notebook 9.2.0和9.2.1可能允許本地攻擊者在系統上執行由記憶體損壞引起的任意程式碼。
通過誘使受害者打開特製文件,攻擊者可以利用此弱點在系統上執行任意程式碼。IBM X-Force ID:187870。
CVE-2020-4722
ibm i2_analysts_notebook 1 IBM i2 Analyst Notebook 9.2.0和9.2.1可能允許本地攻擊者在系統上執行由記憶體損壞引起的任意程式碼。
通過誘使受害者打開特製文件,攻擊者可以利用此弱點在系統上執行任意程式碼。IBM X-Force ID:187873。
CVE-2020-4723
影響系統:
    • 受影響廠牌如下:
  • apple
  • ibm
解決辦法: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb20-307 )
細節描述: 詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb20-307 )
參考資訊: USCERT