Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του Safari 13.1

Το παρόν έγγραφο περιγράφει το περιεχόμενο ασφάλειας του Safari 13.1.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

Safari 13.1

Κυκλοφόρησε στις 24 Μαρτίου 2020

Λήψεις Safari

Διατίθεται για: macOS Mojave και macOS High Sierra και περιλαμβάνεται στο macOS Catalina

Αποτέλεσμα: Ένα κακόβουλο iframe ενδέχεται να χρησιμοποιήσει τις ρυθμίσεις λήψης ενός άλλου ιστότοπου

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2020-9784: Ruilin Yang του Tencent Security Xuanwu Lab, Ryan Pickren (ryanpickren.com)

WebKit

Διατίθεται για: macOS Mojave και macOS High Sierra και περιλαμβάνεται στο macOS Catalina

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-3901: Benjamin Randazzo (@____benjamin)

WebKit

Διατίθεται για: macOS Mojave και macOS High Sierra και περιλαμβάνεται στο macOS Catalina

Αποτέλεσμα: Η προέλευση μιας λήψης ενδέχεται να είναι συσχετισμένη λανθασμένα

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2020-3887: Ryan Pickren (ryanpickren.com)

WebKit

Διατίθεται για: macOS Mojave και macOS High Sierra και περιλαμβάνεται στο macOS Catalina

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-3895: grigoritchy

CVE-2020-3900: Dongzhuo Zhao σε συνεργασία με το ADLab της Venustech

WebKit

Διατίθεται για: macOS Mojave και macOS High Sierra και περιλαμβάνεται στο macOS Catalina

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με επιπλέον διαδικασίες επαλήθευσης.

CVE-2020-3894: Sergei Glazunov του Google Project Zero

WebKit

Διατίθεται για: macOS Mojave και macOS High Sierra και περιλαμβάνεται στο macOS Catalina

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδεχομένως να έχει τη δυνατότητα να προκαλέσει εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-3897: Brendan Draper (@6r3nd4n) σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

WebKit

Διατίθεται για: macOS Mojave και macOS High Sierra και περιλαμβάνεται στο macOS Catalina

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2020-9783: Apple

WebKit

Διατίθεται για: macOS Mojave και macOS High Sierra και περιλαμβάνεται στο macOS Catalina

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδεχομένως να έχει τη δυνατότητα να προκαλέσει εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα κατανάλωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-3899: εντοπίστηκε από OSS-Fuzz

WebKit

Διατίθεται για: macOS Mojave και macOS High Sierra και περιλαμβάνεται στο macOS Catalina

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την εισβολή με διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Ένα πρόβλημα επαλήθευσης εισαγωγής αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-3902: Yiğit Can YILMAZ (@yilmazcanyigit)

Φόρτωση σελίδων WebKit

Διατίθεται για: macOS Mojave και macOS High Sierra και περιλαμβάνεται στο macOS Catalina

Αποτέλεσμα: Μια διεύθυνση URL αρχείου ενδέχεται να είναι επεξεργασμένη λανθασμένα

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2020-3885: Ryan Pickren (ryanpickren.com)

Επιπλέον αναγνώριση

Safari

Θα θέλαμε να ευχαριστήσουμε τον Dlive του Tencent Security Xuanwu Lab, τον Jacek Kolodziej της Procter & Gamble και τον Justin Taft της One Up Security, LLC για τη βοήθειά τους.

Επεκτάσεις Safari

Θα θέλαμε να ευχαριστήσουμε τον Jeff Johnson του underpassapp.com για τη βοήθειά του.

Safari Reader

Θα θέλαμε να ευχαριστήσουμε τον Nikhil Mittal (@c0d3G33k) της Payatu Labs (payatu.com) για τη βοήθειά του.

WebKit

Θα θέλαμε να ευχαριστήσουμε τους Emilio Cobos Álvarez της Mozilla, Samuel Groß του Google Project Zero και hearmen για τη βοήθειά τους.

Η καταχώριση ενημερώθηκε στις 4 Απριλίου 2020

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: Απριλίου 14, 2020

Χρήσιμο;