מידע על תוכן האבטחה של Safari 13.1.2

מסמך זה מתאר את תוכן האבטחה של Safari 13.1.2.

אודות עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple.

Safari 13.1.2

Safari

זמין עבור: macOS Mojave ו-macOS High Sierra, וכלול ב-macOS Catalina

השפעה: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות

תיאור: בעיה של חוסר עקביות בממשק המשתמש טופלה באמצעות ניהול מצבים משופר.

CVE-2020-9942: חוקר אנונימי, ראול ד' קנקראלה (servicenger.com), ראיאן ביג'ורה (‎@Bijoora) מ-The City School, PAF Chapter, רואילין יאנג מ-Tencent Security Xuanwu Lab, יוקו קהו (‎@YoKoAcc) מ-PT Telekomunikasi Indonesia (Persero) Tbk, ז'יאנג זנג (‎@Wester) מ-OPPO ZIWU Security Lab

הורדות של Safari

זמין עבור: macOS Mojave ו-macOS High Sierra, וכלול ב-macOS Catalina

השפעה: תוקף זדוני עלול לשנות את המקור של מסגרת להורדה במצב 'הקורא של Safari'

תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.

CVE-2020-9912: ניקיל מיטאל (‎@c0d3G33k) מ-Payatu Labs ‏(payatu.com)

מילוי אוטומטי של פרטי ההתחברות ל-Safari

זמין עבור: macOS Mojave ו-macOS High Sierra, וכלול ב-macOS Catalina

השפעה: תוקף זדוני עלול לגרום ל-Safari להציע סיסמה למתחם הלא נכון

תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.

CVE-2020-9903: ניקיל מיטאל (‎@c0d3G33k) מ-Payatu Labs ‏(payatu.com)

הקורא של Safari

זמין עבור: macOS Mojave ו-macOS High Sierra, וכלול ב-macOS Catalina

השפעה: בעיה במצב 'הקורא של Safari' עלולה לאפשר לתוקף מרוחק לעקוף את Same Origin Policy

תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.

CVE-2020-9911: ניקיל מיטאל (‎@c0d3G33k) מ-Payatu Labs ‏(payatu.com)

WebKit

זמין עבור: macOS Mojave ו-macOS High Sierra, וכלול ב-macOS Catalina

השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2020-9894:‏ 0011 יחד עם Zero Day Initiative של Trend Micro

WebKit

זמין עבור: macOS Mojave ו-macOS High Sierra, וכלול ב-macOS Catalina

השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול למנוע אכיפה של מדיניות אבטחת תוכן

תיאור: בעיית גישה הייתה קיימת במדיניות אבטחת תוכן. בעיה זו טופלה באמצעות שיפור ההגבלות על התהליך.

CVE-2020-9915: איוב עית אלמוקטאר (Ayoub AIT ELMOKHTAR) מ-Noon

WebKit

זמין עבור: macOS Mojave ו-macOS High Sierra, וכלול ב-macOS Catalina

השפעה: עיבוד תוכן אינטרנטי בעל מבנה זדוני עלול לגרום ל-Scripting אוניברסלי בין אתרים

תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.

CVE-2020-9925: חוקר אנונימי

WebKit

זמין עבור: macOS Mojave ו-macOS High Sierra, וכלול ב-macOS Catalina

השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2020-9893:‏ 0011 יחד עם Zero Day Initiative של Trend Micro

CVE-2020-9895:‏ וון שו (Wen Xu) מ-SSLab, ‏Georgia Tech

WebKit

זמין עבור: macOS Mojave ו-macOS High Sierra, וכלול ב-macOS Catalina

השפעה: תוקף זדוני עם יכולות קריאה וכתיבה שרירותיות עלול לעקוף אימות מצביע

תיאור: מספר בעיות טופלו באמצעות לוגיקה משופרת.

CVE-2020-9910:‏ סמואל גרוס (Samuel Groß) מ-Google Project Zero

טעינת עמוד WebKit

זמין עבור: macOS Mojave ו-macOS High Sierra, וכלול ב-macOS Catalina

השפעה: תוקף זדוני עלול להסתיר יעד של כתובת URL

תיאור: בעיה בקידוד Unicode של כתובת URL טופלה באמצעות ניהול מצבים משופר.

CVE-2020-9916: ראקש מאנה (Rakesh Mane)‏ (‎@RakeshMane10)

WebKit Web Inspector

זמין עבור: macOS Mojave ו-macOS High Sierra, וכלול ב-macOS Catalina

השפעה: העתקת כתובת URL מ-Web Inspector עלולה לגרום להחדרת פקודה

תיאור : בעיה של החדרת פקודה הייתה קיימת ב-Web Inspector. בעיה זו טופלה באמצעות יכולת ביטול משופרת.

CVE-2020-9862: אופיר לוז'קין (Ophir Lojkine)‏ (‎@lovasoa)

WebRTC

זמין עבור: macOS Mojave ו-macOS High Sierra, וכלול ב-macOS Catalina

השפעה: תוקף במיקום מורשה ברשת עלול לגרום לפגם בזיכרון באמצעות זרם SCTP בעל מבנה

תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.

CVE-2020-6514: נטאשנקה מ-Google Project Zero