Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του Safari 12

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του Safari 12.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Safari 12

Κυκλοφόρησε στις 17 Σεπτεμβρίου 2018

Safari

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Αποτέλεσμα: Ένας κακόβουλος ιστότοπος ενδέχεται να μπορεί να αποσπάσει δεδομένα αυτόματης συμπλήρωσης στο Safari

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2018-4307: Rafay Baloch του Pakistan Telecommunications Authority

Η καταχώριση ενημερώθηκε στις 24 Σεπτεμβρίου 2018

Safari

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Αποτέλεσμα: Ένας χρήστης μπορεί να μην έχει τη δυνατότητα να διαγράψει στοιχεία από το ιστορικό αναζήτησης

Περιγραφή: Η διαγραφή ενός στοιχείου του ιστορικού μπορεί να μην διαγράψει τις επισκέψεις με αλυσίδες ανακατεύθυνσης. Το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης διαγραφής δεδομένων.

CVE-2018-4329: Hugo S. Diaz (coldpointblue)

Η καταχώριση ενημερώθηκε στις 24 Σεπτεμβρίου 2018

Safari

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο πατώντας έναν σύνδεσμο μπορεί να οδηγήσει σε πλαστογράφηση του περιβάλλοντος χρήστη

Περιγραφή: Ένα πρόβλημα μη συνεπούς περιβάλλοντος εργασίας χρήστη αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2018-4195: xisigr του Tencent's Xuanwu Lab (www.tencent.com)

Η καταχώριση ενημερώθηκε στις 24 Σεπτεμβρίου 2018

WebKit

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Αποτέλεσμα: Ένας κακόβουλος ιστότοπος μπορεί να προκαλέσει μη αναμενόμενη συμπεριφορά μεταξύ προελεύσεων

Περιγραφή: Υπήρχε ζήτημα μεταξύ προελεύσεων με στοιχεία iframe. Αυτό το ζήτημα αντιμετωπίστηκε μέσω βελτιωμένου εντοπισμού των προελεύσεων ασφάλειας.

CVE-2018-4319: John Pettitt της Google

Η καταχώριση προστέθηκε στις 24 Σεπτεμβρίου 2018

WebKit

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Αποτέλεσμα: Απρόσμενη αλληλεπίδραση προκαλεί αποτυχία ASSERT

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επικύρωση.

CVE-2018-4191: εντοπίστηκε από OSS-Fuzz

Η καταχώριση προστέθηκε στις 24 Σεπτεμβρίου 2018

WebKit

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Αποτέλεσμα: Ένας κακόβουλος ιστότοπος ενδέχεται να μπορεί να εκτελεί σενάρια στο περιβάλλον ενός άλλου ιστότοπου

Περιγραφή: Υπήρχε πρόβλημα σεναρίου μεταξύ ιστότοπων στο Safari. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση διευθύνσεων URL.

CVE-2018-4309: ένας ανώνυμος ερευνητής σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 24 Σεπτεμβρίου 2018

WebKit

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4299: Samuel Groβ (saelo) σε συνεργασία με το Zero Day Initiative της Trend Micro

CVE-2018-4323: Ivan Fratric του Google Project Zero

CVE-2018-4328: Ivan Fratric του Google Project Zero

CVE-2018-4358: @phoenhex team (@bkth_ @5aelo @_niklasb) σε συνεργασία με το Zero Day Initiative της Trend Micro

CVE-2018-4359: Samuel Groß (@5aelo)

CVE-2018-4360: William Bowling (@wcbowling)

Η καταχώριση προστέθηκε στις 24 Σεπτεμβρίου 2018 και ενημερώθηκε στις 24 Οκτωβρίου 2018

WebKit

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Αποτέλεσμα: Τα σφάλματα ασφάλειας μεταξύ προελεύσεων περιλαμβάνουν την προέλευση του πλαισίου στο οποίο πραγματοποιήθηκε η πρόσβαση

Περιγραφή: Το ζήτημα αντιμετωπίστηκε με την κατάργηση των πληροφοριών προέλευσης.

CVE-2018-4311: Erling Alf Ellingsen (@steike)

Η καταχώριση προστέθηκε στις 24 Σεπτεμβρίου 2018

WebKit

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Αποτέλεσμα: Ένας κακόβουλος ιστότοπος ενδέχεται να αποσπάσει δεδομένα εικόνων μεταξύ προελεύσεων

Περιγραφή: Υπήρχε πρόβλημα σεναρίου μεταξύ ιστότοπων στο Safari. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση διευθύνσεων URL.

CVE-2018-4345: ανώνυμος ερευνητής

Η καταχώριση προστέθηκε στις 24 Σεπτεμβρίου 2018

WebKit

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Αποτέλεσμα: Απρόσμενη αλληλεπίδραση προκαλεί αποτυχία ASSERT

Περιγραφή: Ένα πρόβλημα κατανάλωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4361: εντοπίστηκε από το OSS-Fuzz

Η καταχώριση προστέθηκε στις 24 Σεπτεμβρίου 2018 και ενημερώθηκε στις 24 Οκτωβρίου 2018

WebKit

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2018-4312: Ivan Fratric του Google Project Zero

CVE-2018-4315: Ivan Fratric του Google Project Zero

CVE-2018-4197: Ivan Fratric του Google Project Zero

CVE-2018-4314: Ivan Fratric του Google Project Zero

CVE-2018-4318: Ivan Fratric του Google Project Zero

CVE-2018-4306: Ivan Fratric του Google Project Zero

CVE-2018-4317: Ivan Fratric του Google Project Zero

Η καταχώριση προστέθηκε στις 24 Σεπτεμβρίου 2018

WebKit

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2018-4316: crixer, Hanming Zhang (@4shitak4) της ομάδας Qihoo 360 Vulcan Team

Η καταχώριση προστέθηκε στις 24 Σεπτεμβρίου 2018

Επιπλέον αναγνώριση

WebKit

Θα θέλαμε να ευχαριστήσουμε τους Cary Hartline, Hanming Zhang από την ομάδα 360 Vuclan, Tencent Keen Security Lab σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro και τον Zach Malone από τη CA Technologies για τη βοήθειά τους.

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: