Om sikkerhedsindholdet i Safari 11.1

Dette dokument indeholder en beskrivelse af sikkerhedsindholdet i Safari 11.1.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

Safari 11.1

Udgivet 29. marts 2018

Safari

Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13.4

Effekt: Besøg på et skadeligt websted kan medføre manipulering med adresselinjen

Beskrivelse: Et problem med en inkonsekvent brugerflade er løst ved forbedret statusadministration.

CVE-2018-4102: Kai Zhao fra 3H Security Team

CVE-2018-4116: @littlelailo, xisigr fra Tencent's Xuanwu Lab (tencent.com)

Safari Downloads

Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13.4

Effekt: I Privat browser blev nogle downloads ikke fjernet fra listen over downloads

Beskrivelse: Der var et problem med læk af oplysninger i håndteringen af downloads i Privat browser i Safari. Problemet er løst ved yderligere validering.

CVE-2018-4186: En anonym programmør

Post tilføjet 2. maj 2018

Fejl i forbindelse med automatisk udfyldning af adgangskoder, når der logges ind i Safari

Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13.4

Effekt: Et skadelig websted kan være i stand til at hente automatisk udfyldte data i Safari uden eksplicit brugerinteraktion.

Beskrivelse: Automatisk udfyldning i Safari krævede ikke eksplicit brugerinteraktion for at finde sted. Problemet blev løst ved at forbedre heuristikker for automatisk udfyldning.

CVE-2018-4137

WebKit

Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13.4

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2018-4101: Yuan Deng fra Ant-financial Light-Year Security Lab

CVE-2018-4114: fundet af OSS-Fuzz

CVE-2018-4118: Jun Kokatsu (@shhnjk)

CVE-2018-4119: En anonym programmør, som arbejder med Trend Micros Zero Day Initiative

CVE-2018-4120: Hanming Zhang (@4shitak4) fra Qihoo 360 Vulcan Team

CVE-2018-4121: Natalie Silvanovich fra Google Project Zero

CVE-2018-4122: WanderingGlitch fra Trend Micros Zero Day Initiative

CVE-2018-4125: WanderingGlitch fra Trend Micros Zero Day Initiative

CVE-2018-4127: En anonym programmør, som arbejder med Trend Micros Zero Day Initiative

CVE-2018-4128: Zach Markley

CVE-2018-4129: likemeng fra Baidu Security Lab, der arbejder med Trend Micros Zero Day Initiative

CVE-2018-4130: Omair, der arbejder med Trend Micros Zero Day Initiative

CVE-2018-4161: WanderingGlitch fra Trend Micros Zero Day Initiative

CVE-2018-4162: WanderingGlitch fra Trend Micros Zero Day Initiative

CVE-2018-4163: WanderingGlitch fra Trend Micros Zero Day Initiative

CVE-2018-4165: Hanming Zhang (@4shitak4) fra Qihoo 360 Vulcan Team

WebKit

Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13.4

Effekt: Et besøg på et skadeligt udformet websted kan medføre scripting-angreb på tværs af websteder

Beskrivelse: Der var et problem med scripting på tværs af websteder i Safari. Problemet er løst ved forbedret validering af URL-adresser.

CVE-2018-4133: Anton Lopanitsyn fra Wallarm, Linus Särud fra Detectify (detectify.com), Yuji Tounai fra NTT Communications Corporation

WebKit

Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13.4

Effekt: Uventet interaktion med indekseringstyper forårsager en ASSERT-fejl

Beskrivelse: Der var et problem med indeksering af matrixer ved håndtering af en funktion i javascript-kernen. Problemet er løst ved at anvende forbedrede kontroller.

CVE-2018-4113: fundet af OSS-Fuzz

WebKit

Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13.4

Effekt: Behandling af skadeligt webindhold kan muligvis forårsage et DoS-angreb

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2018-4146: fundet af OSS-Fuzz

WebKit

Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13.4

Effekt: Et skadeligt websted kan eksfiltrere data på tværs af oprindelsessteder

Beskrivelse: Der var et problem med fetch-API'en på tværs af oprindelsessteder. Dette blev rettet gennem forbedret inputvalidering.

CVE-2018-4117: En anonym programmør, en anonym programmør

WebKit

Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13.4

Effekt: Uventet interaktion forårsager en ASSERT-fejl

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2018-4207: fundet af OSS-Fuzz

Post tilføjet 2. maj 2018

WebKit

Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13.4

Effekt: Uventet interaktion forårsager en ASSERT-fejl

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2018-4208: fundet af OSS-Fuzz

Post tilføjet 2. maj 2018

WebKit

Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13.4

Effekt: Uventet interaktion forårsager en ASSERT-fejl

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2018-4209: fundet af OSS-Fuzz

Post tilføjet 2. maj 2018

WebKit

Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13.4

Effekt: Uventet interaktion med indekseringstyper forårsagede en fejl

Beskrivelse: Der var et problem med indeksering af matrixer ved håndtering af en funktion i javascript-kernen. Problemet er løst ved forbedret kontrol.

CVE-2018-4210: fundet af OSS-Fuzz

Post tilføjet 2. maj 2018

WebKit

Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13.4

Effekt: Uventet interaktion forårsager en ASSERT-fejl

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2018-4212: fundet af OSS-Fuzz

Post tilføjet 2. maj 2018

WebKit

Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13.4

Effekt: Uventet interaktion forårsager en ASSERT-fejl

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2018-4213: fundet af OSS-Fuzz

Post tilføjet 2. maj 2018

WebKit

Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13.4

Effekt: Behandling af webindhold med skadelig kode kan føre til kodekørsel

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2018-4145: fundet af OSS-Fuzz

Post tilføjet 18. oktober 2018

Yderligere anerkendelser

WebKit

Vi vil gerne takke Johnny Nipper fra Tinder Security Team for hjælpen.

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: