Informationen zum Sicherheitsinhalt von Safari 12.1

In diesem Dokument wird der Sicherheitsinhalt von Safari 12.1 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Apple-Produktsicherheit.

Safari 12.1

Veröffentlicht am 25. März 2019

Safari Reader

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14.4

Auswirkung: Das Aktivieren der Funktion Safari Reader auf einer in böser Absicht erstellten Webseite kann zu universellem Cross-Site-Scripting führen

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2019-6204: Ryan Pickren (ryanpickren.com)

CVE-2019-8505: Ryan Pickren (ryanpickren.com)

WebKit

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Typenverwechslungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8506: Samuel Groß von Google Project Zero

WebKit

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2019-8535: Zhiyang Zeng (@Wester) vom Tencent Blade Team

WebKit

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-6201: dwfault in Zusammenarbeit mit ADLab von Venustech

CVE-2019-8518: Samuel Groß of Google Project Zero

CVE-2019-8523: Apple

CVE-2019-8524: G. Geshev in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2019-8558: Samuel Groß von Google Project Zero

CVE-2019-8559: Apple

CVE-2019-8563: Apple

WebKit

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8536: Apple

CVE-2019-8544: Ein anonymer Forscher

WebKit

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann vertrauliche Benutzerdaten offenlegen

Beschreibung: Es bestand ein Cross-Origin-Problem mit der Abruf-API. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8515: James Lee (@Windowsrcer)

WebKit

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-7285: dwfault, der bei ADLab von Venustech arbeitet

CVE-2019-8556: Apple

WebKit

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14.4

Auswirkung: Eine in böswilliger Absicht erstellte Website kann über eine andere Website Skripte ausführen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2019-8503: Linus Särud von Detectify

WebKit

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14.4

Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten kann Prozessspeicher offengelegt werden

Beschreibung: Ein Überprüfungsproblem wurde mit einer verbesserten Logik behoben.

CVE-2019-7292: Zhunki und Zhiyi Zhang vom 360 ESG Codesafe Team

WebKit

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14.4

Auswirkung: Ein in der Sandbox ausgeführter Prozess kann Sandbox-Einschränkungen umgehen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.

CVE-2019-8562: Wen Xu vom SSLab von der Georgia Tech und Hanqing Zhao vom Chaitin Security Research Lab

WebKit

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2019-8551: Ryan Pickren (ryanpickren.com)

Zusätzliche Danksagung

Safari

Wir danken Nikhil Mittal (@c0d3G33k) von Payatu Labs (payatu.com) für seine Unterstützung.

WebKit

Wir danken Andrey Kovalev vom Yandex Security Team für seine Unterstützung.

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: