Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του Safari 13.1.2

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του Safari 13.1.2.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

Safari 13.1.2

Safari

Διατίθεται για: macOS Mojave και macOS High Sierra και περιλαμβάνεται στο macOS Catalina

Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε πλαστογράφηση της γραμμής διευθύνσεων

Περιγραφή: Ένα πρόβλημα μη συνεπούς περιβάλλοντος εργασίας χρήστη αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2020-9942: ένας ανώνυμος ερευνητής, Rahul d Kankrale (servicenger.com), Rayyan Bijoora (@Bijoora) του The City School, PAF Chapter, Ruilin Yang του Tencent Security Xuanwu Lab, YoKo Kho (@YoKoAcc) της PT Telekomunikasi Indonesia (Persero) Tbk, Zhiyang Zeng(@Wester) του OPPO ZIWU Security Lab

Λήψεις Safari

Διατίθεται για: macOS Mojave και macOS High Sierra και περιλαμβάνεται στο macOS Catalina

Αποτέλεσμα: Ένας κακόβουλος εισβολέας ενδέχεται να μπορεί να αλλάξει την προέλευση ενός πλαισίου σε ένα στοιχείο λήψης στη λειτουργία Safari Reader

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2020-9912: Nikhil Mittal (@c0d3G33k) του Payatu Labs (payatu.com)

Αυτοσυμπλήρωση στοιχείων σύνδεσης Safari

Διατίθεται για: macOS Mojave και macOS High Sierra και περιλαμβάνεται στο macOS Catalina

Αποτέλεσμα: Ένας κακόβουλος εισβολέας ενδέχεται να μπορεί να κάνει το Safari να προτείνει ένα συνθηματικό για τον λάθος τομέα

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2020-9903: Nikhil Mittal (@c0d3G33k) του Payatu Labs (payatu.com)

Safari Reader

Διατίθεται για: macOS Mojave και macOS High Sierra και περιλαμβάνεται στο macOS Catalina

Αποτέλεσμα: Ένα πρόβλημα στη λειτουργία Safari Reader μπορεί να επιτρέψει σε έναν απομακρυσμένο εισβολέα να παρακάμψει την Πολιτική ίδιας προέλευσης

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2020-9911: Nikhil Mittal (@c0d3G33k) του Payatu Labs (payatu.com)

WebKit

Διατίθεται για: macOS Mojave και macOS High Sierra και περιλαμβάνεται στο macOS Catalina

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-9894: 0011 σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

WebKit

Διατίθεται για: macOS Mojave και macOS High Sierra και περιλαμβάνεται στο macOS Catalina

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να αποτρέψει την επιβολή της Πολιτικής ασφάλειας περιεχομένου

Περιγραφή: Υπήρχε ένα πρόβλημα πρόσβασης στην Πολιτική ασφάλειας περιεχομένου. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους περιορισμούς πρόσβασης.

CVE-2020-9915: Ayoub AIT ELMOKHTAR της Noon

WebKit

Διατίθεται για: macOS Mojave και macOS High Sierra και περιλαμβάνεται στο macOS Catalina

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την καθολική διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2020-9925: ένας ανώνυμος ερευνητής

WebKit

Διατίθεται για: macOS Mojave και macOS High Sierra και περιλαμβάνεται στο macOS Catalina

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2020-9893: 0011 σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2020-9895: Wen Xu του SSLab στο Georgia Tech

WebKit

Διατίθεται για: macOS Mojave και macOS High Sierra και περιλαμβάνεται στο macOS Catalina

Αποτέλεσμα: Ένας κακόβουλος εισβολέας με αυθαίρετη δυνατότητα ανάγνωσης και εγγραφής μπορεί να έχει τη δυνατότητα να παρακάμψει τον έλεγχο ταυτότητας δείκτη

Περιγραφή: Πολλά προβλήματα αντιμετωπίστηκαν με βελτιωμένη λογική.

CVE-2020-9910: Samuel Groß του Google Project Zero

Φόρτωση σελίδων WebKit

Διατίθεται για: macOS Mojave και macOS High Sierra και περιλαμβάνεται στο macOS Catalina

Αποτέλεσμα: Ένας κακόβουλος εισβολέας μπορεί να έχει τη δυνατότητα να αποκρύψει τον προορισμό μιας διεύθυνσης URL

Περιγραφή: Ένα πρόβλημα κωδικοποίησης Unicode για διευθύνσεις URL αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2020-9916: Rakesh Mane (@RakeshMane10)

WebKit Web Inspector

Διατίθεται για: macOS Mojave και macOS High Sierra και περιλαμβάνεται στο macOS Catalina

Αποτέλεσμα: Η αντιγραφή μιας διεύθυνσης URL από το Web Inspector μπορεί να οδηγήσει σε εισαγωγή εντολών

Περιγραφή: Υπήρχε ένα πρόβλημα εισαγωγής εντολών στο Web Inspector. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη έξοδο.

CVE-2020-9862: Ophir Lojkine (@lovasoa)

WebRTC

Διατίθεται για: macOS Mojave και macOS High Sierra και περιλαμβάνεται στο macOS Catalina

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου ενδέχεται να μπορεί να προκαλέσει αλλοίωση σωρού μέσω μιας ροής SCTP

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2020-6514: natashenka του Google Project Zero