Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.
Safari 13.1
Vydáno 24. března 2020
Stahování v Safari
K dispozici pro macOS Mojave a macOS High Sierra, zahrnuto v macOS Catalina
Dopad: Škodlivý prvek iframe může používat nastavení stahování jiného webu.
Popis: Problém v logice byl vyřešen vylepšením omezení.
CVE-2020-9784: Ruilin Yang z týmu Security Xuanwu Lab společnosti Tencent, Ryan Pickren (ryanpickren.com)
WebKit
K dispozici pro macOS Mojave a macOS High Sierra, zahrnuto v macOS Catalina
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Problém se záměnou typů byl vyřešen vylepšením správy paměti.
CVE-2020-3901: Benjamin Randazzo (@____benjamin)
WebKit
K dispozici pro macOS Mojave a macOS High Sierra, zahrnuto v macOS Catalina
Dopad: Může být nesprávně přidružen původ stahování.
Popis: Problém v logice byl vyřešen vylepšením omezení.
CVE-2020-3887: Ryan Pickren (ryanpickren.com)
WebKit
K dispozici pro macOS Mojave a macOS High Sierra, zahrnuto v macOS Catalina
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2020-3895: grigoritchy
CVE-2020-3900: Dongzhuo Zhao ve spolupráci s týmem ADLab společnosti Venustech
WebKit
K dispozici pro macOS Mojave a macOS High Sierra, zahrnuto v macOS Catalina
Dopad: Aplikaci se může podařit číst vyhrazenou paměť.
Popis: Problém se souběhem byl vyřešen dodatečným ověřováním.
CVE-2020-3894: Sergei Glazunov z týmu Google Project Zero
WebKit
K dispozici pro macOS Mojave a macOS High Sierra, zahrnuto v macOS Catalina
Dopad: Vzdálenému útočníkovi se může podařit spustit libovolný kód.
Popis: Problém se záměnou typů byl vyřešen vylepšením správy paměti.
CVE-2020-3897: Brendan Draper (@6r3nd4n) ve spolupráci se Zero Day Initiative společnosti Trend Micro
WebKit
K dispozici pro macOS Mojave a macOS High Sierra, zahrnuto v macOS Catalina
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění kódu
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2020-9783: Apple
WebKit
K dispozici pro macOS Mojave a macOS High Sierra, zahrnuto v macOS Catalina
Dopad: Vzdálenému útočníkovi se může podařit spustit libovolný kód.
Popis: Problém se spotřebou paměti byl vyřešen vylepšením správy paměti.
CVE-2020-3899: nalezeno programem OSS-Fuzz
WebKit
K dispozici pro macOS Mojave a macOS High Sierra, zahrnuto v macOS Catalina
Dopad: Zpracování škodlivého webového obsahu může vést k útoku skriptováním napříč weby.
Popis: Problém s ověřováním vstupů byl vyřešen vylepšením ověřování vstupů.
CVE-2020-3902: Yiğit Can YILMAZ (@yilmazcanyigit)
Načítání stránek ve WebKitu
K dispozici pro macOS Mojave a macOS High Sierra, zahrnuto v macOS Catalina
Dopad: Může být nesprávně zpracováno URL souboru.
Popis: Problém v logice byl vyřešen vylepšením omezení.
CVE-2020-3885: Ryan Pickren (ryanpickren.com)
Další poděkování
Safari
Poděkování za pomoc zaslouží Dlive z týmu Security Xuanwu Lab společnosti Tencent, Jacek Kolodziej ze společnosti Procter & Gamble a Justin Taft ze společnosti One Up Security, LLC.
Rozšíření Safari
Poděkování za pomoc zaslouží Jeff Johnson z underpassapp.com.
Čtečka v Safari
Poděkování za pomoc zaslouží Nikhil Mittal (@c0d3G33k) ze společnosti Payatu Labs (payatu.com).
WebKit
Poděkování za pomoc zaslouží Emilio Cobos Álvarez z Mozilly, Samuel Groß z týmu Google Project Zero a hearmen.
Záznam aktualizován 4. dubna 2020