À propos des mises à jour de sécurité Apple
Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Les mises à jour récentes sont répertoriées sur la page Mises à jour de sécurité Apple.
Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE dans la mesure du possible.
Pour obtenir plus d’informations en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.
Safari 13
Publié le jeudi 19 septembre 2019
WebKit
Disponible pour : macOS Mojave 10.14.6 et macOS High Sierra 10.13.6
Conséquence : le traitement d’un contenu web malveillant peut provoquer une injection de code indirect universel (UXSS ou universal cross-site scripting).
Description : un problème de logique a été résolu par une meilleure gestion des états.
CVE-2019-8625 : Sergei Glazunov de Google Project Zero
CVE-2019-8719 : Sergei Glazunov de Google Project Zero
Entrée ajoutée le 8 octobre 2019
WebKit
Disponible pour : macOS Mojave 10.14.6 et macOS High Sierra 10.13.6
Conséquence : le traitement d’un contenu web malveillant peut entraîner l’exécution arbitraire de code.
Description : plusieurs problèmes de corruption de la mémoire ont été résolus par une meilleure gestion de cette dernière.
CVE-2019-8707 : un chercheur anonyme en collaboration avec le programme Zero Day Initiative de Trend Micro, cc en collaboration avec le programme Zero Day Initiative de Trend Micro
CVE-2019-8726 : Jihui Lu de Tencent KeenLab
CVE-2019-8728 : Junho Jang de la LINE Security Team et Hanul Choi d’ABLY Corporation
CVE-2019-8733 : Sergei Glazunov de Google Project Zero
CVE-2019-8734 : découvert par OSS-Fuzz
CVE-2019-8735 : G. Geshev en collaboration avec le programme Zero Day Initiative de Trend Micro
Entrée ajoutée le 8 octobre 2019 et mise à jour le 29 octobre 2019
Chargement de page WebKit
Disponible pour : macOS Mojave 10.14.6 et macOS High Sierra 10.13.6
Conséquence : le traitement d’un contenu web malveillant peut provoquer une injection de code indirect universel (UXSS ou universal cross-site scripting).
Description : un problème de logique a été résolu par une meilleure gestion des états.
CVE-2019-8674 : Sergei Glazunov de Google Project Zero
Entrée mise à jour le 8 octobre 2019
Remerciements supplémentaires
WebKit
Nous tenons à remercier MinJeong Kim de l’Information Security Lab, National University de Chungnam, JaeCheol Ryou de l’Information Security Lab, National University de Chungnam en Corée du Sud, Yiğit Can YILMAZ (@yilmazcanyigit), Zhihua Yao de DBAPPSecurity Zion Lab, un chercheur anonyme, cc en collaboration avec le programme Zero Day Initiative de Trend Micro pour leur aide.
Entrée ajoutée le 8 octobre 2019 et mise à jour le 29 octobre 2019