Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του Safari 12

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του Safari 12.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Safari 12

Safari

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Αποτέλεσμα: Ένας κακόβουλος ιστότοπος ενδέχεται να μπορεί να αποσπάσει δεδομένα αυτόματης συμπλήρωσης στο Safari

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2018-4307: Rafay Baloch του Pakistan Telecommunications Authority

Safari

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Αποτέλεσμα: Ένας χρήστης μπορεί να μην έχει τη δυνατότητα να διαγράψει στοιχεία από το ιστορικό αναζήτησης

Περιγραφή: Η διαγραφή ενός στοιχείου του ιστορικού μπορεί να μην διαγράψει τις επισκέψεις με αλυσίδες ανακατεύθυνσης. Το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης διαγραφής δεδομένων.

CVE-2018-4329: Hugo S. Diaz (coldpointblue)

Safari

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο πατώντας έναν σύνδεσμο μπορεί να οδηγήσει σε πλαστογράφηση του περιβάλλοντος χρήστη

Περιγραφή: Ένα πρόβλημα μη συνεπούς περιβάλλοντος εργασίας χρήστη αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2018-4195: xisigr του Tencent's Xuanwu Lab (www.tencent.com)

WebKit

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Αποτέλεσμα: Ένας κακόβουλος ιστότοπος μπορεί να προκαλέσει μη αναμενόμενη συμπεριφορά μεταξύ προελεύσεων

Περιγραφή: Υπήρχε ζήτημα μεταξύ προελεύσεων με στοιχεία iframe. Αυτό το ζήτημα αντιμετωπίστηκε μέσω βελτιωμένου εντοπισμού των προελεύσεων ασφάλειας.

CVE-2018-4319: John Pettitt της Google

WebKit

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Αποτέλεσμα: Απρόσμενη αλληλεπίδραση προκαλεί αποτυχία ASSERT

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επικύρωση.

CVE-2018-4191: εντοπίστηκε από OSS-Fuzz

WebKit

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Αποτέλεσμα: Ένας κακόβουλος ιστότοπος ενδέχεται να μπορεί να εκτελεί σενάρια στο περιβάλλον ενός άλλου ιστότοπου

Περιγραφή: Υπήρχε πρόβλημα σεναρίου μεταξύ ιστότοπων στο Safari. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση διευθύνσεων URL.

CVE-2018-4309: ένας ανώνυμος ερευνητής σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

WebKit

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4299: Samuel Groβ (saelo) σε συνεργασία με το Zero Day Initiative της Trend Micro

CVE-2018-4323: Ivan Fratric του Google Project Zero

CVE-2018-4328: Ivan Fratric του Google Project Zero

CVE-2018-4358: @phoenhex team (@bkth_ @5aelo @_niklasb) σε συνεργασία με το Zero Day Initiative της Trend Micro

CVE-2018-4359: Samuel Groß (@5aelo)

CVE-2018-4360: William Bowling (@wcbowling)

WebKit

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Αποτέλεσμα: Τα σφάλματα ασφάλειας μεταξύ προελεύσεων περιλαμβάνουν την προέλευση του πλαισίου στο οποίο πραγματοποιήθηκε η πρόσβαση

Περιγραφή: Το ζήτημα αντιμετωπίστηκε με την κατάργηση των πληροφοριών προέλευσης.

CVE-2018-4311: Erling Alf Ellingsen (@steike)

WebKit

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Αποτέλεσμα: Ένας κακόβουλος ιστότοπος ενδέχεται να αποσπάσει δεδομένα εικόνων μεταξύ προελεύσεων

Περιγραφή: Υπήρχε πρόβλημα σεναρίου μεταξύ ιστότοπων στο Safari. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση διευθύνσεων URL.

CVE-2018-4345: ανώνυμος ερευνητής

WebKit

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Αποτέλεσμα: Απρόσμενη αλληλεπίδραση προκαλεί αποτυχία ASSERT

Περιγραφή: Ένα πρόβλημα κατανάλωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4361: εντοπίστηκε από το OSS-Fuzz

WebKit

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2018-4312: Ivan Fratric του Google Project Zero

CVE-2018-4315: Ivan Fratric του Google Project Zero

CVE-2018-4197: Ivan Fratric του Google Project Zero

CVE-2018-4314: Ivan Fratric του Google Project Zero

CVE-2018-4318: Ivan Fratric του Google Project Zero

CVE-2018-4306: Ivan Fratric του Google Project Zero

CVE-2018-4317: Ivan Fratric του Google Project Zero

WebKit

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2018-4316: crixer, Hanming Zhang (@4shitak4) της ομάδας Qihoo 360 Vulcan Team

Επιπλέον αναγνώριση

WebKit

Θα θέλαμε να ευχαριστήσουμε τους Cary Hartline, Hanming Zhang από την ομάδα 360 Vuclan, Tencent Keen Security Lab σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro και τον Zach Malone από τη CA Technologies για τη βοήθειά τους.