Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του Safari 11.1

Το παρόν έγγραφο περιγράφει το περιεχόμενο ασφάλειας του Safari 11.1.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Safari 11.1

Safari

Διατίθεται για: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 και macOS High Sierra 10.13.4

Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε πλαστογράφηση της γραμμής διευθύνσεων

Περιγραφή: Ένα πρόβλημα μη συνεπούς περιβάλλοντος εργασίας χρήστη αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2018-4102: Kai Zhao της ομάδας ασφάλειας 3H

CVE-2018-4116: @littlelailo, xisigr του Tencent's Xuanwu Lab (tencent.com)

Λήψεις Safari

Διατίθεται για: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 και macOS High Sierra 10.13.4

Αποτέλεσμα: Στην Ιδιωτική περιήγηση, ορισμένα στοιχεία λήψης δεν καταργούνταν από τη λίστα στοιχείων λήψης

Περιγραφή: Υπήρχε ένα πρόβλημα διαρροής πληροφοριών κατά τον χειρισμό στοιχείων λήψης στην Ιδιωτική περιήγηση του Safari. Αυτό το πρόβλημα αντιμετωπίστηκε με πρόσθετη επικύρωση.

CVE-2018-4186: ένας ανώνυμος ερευνητής

Αυτοσυμπλήρωση στοιχείων σύνδεσης Safari

Διατίθεται για: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 και macOS High Sierra 10.13.4

Αποτέλεσμα: Ένας κακόβουλος ιστότοπος ενδέχεται να μπορεί να αποσπάσει δεδομένα αυτόματης συμπλήρωσης στο Safari χωρίς ρητή αλληλεπίδραση με τον χρήστη.

Περιγραφή: Η αυτοσυμπλήρωση στο Safari δεν απαιτούσε ρητή αλληλεπίδραση με τον χρήστη προτού διενεργηθεί. Το πρόβλημα αντιμετωπίστηκε με βελτιωμένη ευρετική αναζήτηση δεδομένων αυτόματης συμπλήρωσης.

CVE-2018-4137

WebKit

Διατίθεται για: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 και macOS High Sierra 10.13.4

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4101: Yuan Deng του Ant-financial Light-Year Security Lab

CVE-2018-4114: εντοπίστηκε από OSS-Fuzz

CVE-2018-4118: Jun Kokatsu (@shhnjk)

CVE-2018-4119: ένας ανώνυμος ερευνητής σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2018-4120: Hanming Zhang (@4shitak4) της ομάδας Qihoo 360 Vulcan Team

CVE-2018-4121: natashenka του Google Project Zero

CVE-2018-4122: WanderingGlitch από το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2018-4125: WanderingGlitch από το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2018-4127: ένας ανώνυμος ερευνητής σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2018-4128: Zach Markley

CVE-2018-4129: likemeng του Baidu Security Lab σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2018-4130: Omair σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2018-4161: WanderingGlitch από το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2018-4162: WanderingGlitch από το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2018-4163: WanderingGlitch από το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2018-4165: Hanming Zhang (@4shitak4) της ομάδας Qihoo 360 Vulcan Team

WebKit

Διατίθεται για: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 και macOS High Sierra 10.13.4

Αποτέλεσμα: Η επίσκεψη σε κακόβουλους ιστότοπους μπορεί να επιτρέψει μια διατοποθεσιακή επίθεση μέσω σεναρίου

Περιγραφή: Υπήρχε πρόβλημα σεναρίου μεταξύ ιστότοπων στο Safari. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση διευθύνσεων URL.

CVE-2018-4133: Anton Lopanitsyn της Wallarm, Linus Särud της Detectify (detectify.com), Yuji Tounai της NTT Communications Corporation

WebKit

Διατίθεται για: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 και macOS High Sierra 10.13.4

Αποτέλεσμα: Απρόσμενη αλληλεπίδραση με τύπους δημιουργίας ευρετηρίου που προκαλούν το σφάλμα ASSERT

Περιγραφή: Υπήρχε ένα πρόβλημα δημιουργίας πίνακα ευρετηρίου στον χειρισμό μιας λειτουργίας στον πυρήνα javascript. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένων ελέγχων.

CVE-2018-4113: εντοπίστηκε από OSS-Fuzz

WebKit

Διατίθεται για: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 και macOS High Sierra 10.13.4

Αποτέλεσμα: Η επεξεργασία περιεχομένου ιστού με κακόβουλη δομή μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης δεδομένων εισαγωγής.

CVE-2018-4146: εντοπίστηκε από OSS-Fuzz

WebKit

Διατίθεται για: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 και macOS High Sierra 10.13.4

Αποτέλεσμα: Ένας κακόβουλος ιστότοπος ενδέχεται να αποσπάσει δεδομένα μεταξύ προελεύσεων

Περιγραφή: Υπήρχε ένα πρόβλημα μεταξύ προελεύσεων με το API λήψης. Αυτό αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.

CVE-2018-4117: ανώνυμος ερευνητής, ανώνυμος ερευνητής

WebKit

Διατίθεται για: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 και macOS High Sierra 10.13.4

Αποτέλεσμα: Απρόσμενη αλληλεπίδραση προκαλεί το σφάλμα ASSERT

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2018-4207: εντοπίστηκε από OSS-Fuzz

WebKit

Διατίθεται για: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 και macOS High Sierra 10.13.4

Αποτέλεσμα: Απρόσμενη αλληλεπίδραση προκαλεί το σφάλμα ASSERT

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2018-4208: εντοπίστηκε από OSS-Fuzz

WebKit

Διατίθεται για: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 και macOS High Sierra 10.13.4

Αποτέλεσμα: Απρόσμενη αλληλεπίδραση προκαλεί το σφάλμα ASSERT

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2018-4209: εντοπίστηκε από OSS-Fuzz

WebKit

Διατίθεται για: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 και macOS High Sierra 10.13.4

Αποτέλεσμα: Απρόσμενη αλληλεπίδραση με τύπους δημιουργίας ευρετηρίου προκάλεσε σφάλμα

Περιγραφή: Υπήρχε ένα πρόβλημα δημιουργίας πίνακα ευρετηρίου στον χειρισμό μιας λειτουργίας στον πυρήνα javascript. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2018-4210: εντοπίστηκε από OSS-Fuzz

WebKit

Διατίθεται για: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 και macOS High Sierra 10.13.4

Αποτέλεσμα: Απρόσμενη αλληλεπίδραση προκαλεί το σφάλμα ASSERT

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2018-4212: εντοπίστηκε από OSS-Fuzz

WebKit

Διατίθεται για: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 και macOS High Sierra 10.13.4

Αποτέλεσμα: Απρόσμενη αλληλεπίδραση προκαλεί το σφάλμα ASSERT

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2018-4213: εντοπίστηκε από OSS-Fuzz

WebKit

Διατίθεται για: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 και macOS High Sierra 10.13.4

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση κώδικα

Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4145: εντοπίστηκε από το OSS-Fuzz

Επιπλέον αναγνώριση

WebKit

Θα θέλαμε να ευχαριστήσουμε τον Johnny Nipper από την ομάδα Tinder Security Team για τη βοήθειά του.