אודות תוכני האבטחה של Safari 11.1.1
מסמך זה מתאר את תוכני האבטחה של Safari 11.1.1.
אודות עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.
למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple. ניתן להצפין תקשורת עם Apple באמצעות 'מפתח PGP לאבטחת מוצר' של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
Safari 11.1.1
Safari
זמין עבור: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 ו-macOS High Sierra 10.13.4
השפעה: אתר אינטרנט זדוני עלול להצליח לגרום מניעת שירות
תיאור: בעיית מניעת שירות טופלה באמצעות אימות משופר.
CVE-2018-4247: פרנסואה רנו, ג'סי ויוויאנו מ-Verizon Enterprise Solutions
Safari
זמין עבור: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 ו-macOS High Sierra 10.13.4
השפעה: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות
תיאור: בעיה של חוסר עקביות בממשק המשתמש טופלה באמצעות ניהול מצבים משופר.
CVE-2018-4205: xisigr מ-Xuanwu Lab של Tencent (tencent.com)
WebKit
זמין עבור: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 ו-macOS High Sierra 10.13.4
השפעה: ביקור באתר בעל מבנה זדוני עלול להוביל להחלפת קובצי Cookie
תיאור: בטיפול בקובצי Cookie בדפדפן אינטרנט הייתה בעיית הרשאות. בעיה זו טופלה באמצעות הגבלות משופרות.
CVE-2018-4232: חוקר אנונימי, איימריק שייב
WebKit
זמין עבור: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 ו-macOS High Sierra 10.13.4
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר בזיכרון.
CVE-2018-4246: התגלה על-ידי OSS-Fuzz
WebKit
זמין עבור: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 ו-macOS High Sierra 10.13.4
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: מצב מירוץ טופל באמצעות נעילה משופרת.
CVE-2018-4192: מרקוס גאסדלן, איימי ברנט ופטריק ביירנט מ-Ret2 Systems, Inc, בעבודה עם Zero Day Initiative של Trend Micro
WebKit
זמין עבור: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 ו-macOS High Sierra 10.13.4
השפעה: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות
תיאור: בעיה של חוסר עקביות בממשק המשתמש טופלה באמצעות ניהול מצבים משופר.
CVE-2018-4188: יוקו קו (@YoKoAcc) מ-Mitra Integrasi Informatika, PT
WebKit
זמין עבור: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 ו-macOS High Sierra 10.13.4
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari
תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.
CVE-2018-4214: התגלה על-ידי OSS-Fuzz
WebKit
זמין עבור: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 ו-macOS High Sierra 10.13.4
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.
CVE-2018-4201: חוקר אנונימי
CVE-2018-4218: נטאשנקה מ-Google Project Zero
CVE-2018-4233: סמואל גרוס (@5aelo) בעבודה עם Zero Day Initiative של Trend Micro
WebKit
זמין עבור: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 ו-macOS High Sierra 10.13.4
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית גלישת חוצץ טופלה באמצעות טיפול משופר בזיכרון.
CVE-2018-4199: אלכס פלסקט, גאורגי גשב ופאבי בטרקה מ-MWR Labs בעבודה עם Zero Day Initiative של Trend Micro
WebKit
זמין עבור: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 ו-macOS High Sierra 10.13.4
השפעה: ביקור באתר בעל מבנה זדוני עלול להדליף נתונים רגישים
תיאור: הרשאות נשלחו באופן בלתי צפוי בעת טעינת תמונות מסכה של CSS. הבעיה טופלה באמצעות שימוש בשיטת טעינה התומכת ב-CORS.
CVE-2018-4190: יון קוקטסו (@shhnjk)
WebKit
זמין עבור: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 ו-macOS High Sierra 10.13.4
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2018-4222: נטאשנקה מ-Google Project Zero
WebKit
זמין עבור: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 ו-macOS High Sierra 10.13.4
השפעה: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות
תיאור: בטיפול בכתובות URL הייתה בעיית זיוף זהות. בעיה זו טופלה באמצעות אימות קלט משופר.
CVE-2018-4277: xisigr מ-Xuanwu Lab של Tencent (tencent.com)
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.