מידע על תוכן האבטחה של Safari 14.1.1
מסמך זה מתאר את תוכן האבטחה של Safari 14.1.1.
אודות עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
למידע נוסף בנושא אבטחה, עיינו בדף אבטחת מוצרי Apple.
Safari 14.1.1
WebKit
זמין עבור: macOS Catalina ו-macOS Mojave
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.
CVE-2021-30749: חוקר אנונימי ו-mipu94 ממעבדת SEFCOM באוניברסיטת אריזונה יחד עם Trend Micro Zero Day Initiative
CVE-2021-30734: ג'ק דייטס מ-RET2 Systems, Inc. (@ret2systems) יחד עם Trend Micro Zero Day Initiative
WebKit
זמין עבור: macOS Catalina ו-macOS Mojave
השפעה: עיבוד תוכן אינטרנטי בעל מבנה זדוני עלול לגרום ל-Scripting אוניברסלי בין אתרים
תיאור: בעיה של מקורות מרובים עם רכיבי iframe טופלה באמצעות מעקב משופר אחר מקורות אבטחה.
CVE-2021-30744: דן הייט מ-jsontop
WebKit
זמין עבור: macOS Catalina ו-macOS Mojave
השפעה: אתר זדוני עלול להצליח לגשת ליציאות מוגבלות בשרתים שרירותיים
תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.
CVE-2021-30720: דיוויד שוץ (@xdavidhu)
WebKit
זמין עבור: macOS Catalina ו-macOS Mojave
השפעה: אפליקציה זדונית עשויה להדליף מידע רגיש אודות המשתמש
תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.
CVE-2021-30682: פראקאש (@1lastBr3ath)
WebKit
זמין עבור: macOS Catalina ו-macOS Mojave
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2021-21779: מרצ'ין טובלסקי מ-Cisco Talos
WebKit
זמין עבור: macOS Catalina ו-macOS Mojave
השפעה: עיבוד תוכן אינטרנטי בעל מבנה זדוני עלול לגרום ל-Scripting אוניברסלי בין אתרים
תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.
CVE-2021-30689: חוקר אנונימי
WebKit
זמין עבור: macOS Catalina ו-macOS Mojave
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.
CVE-2021-30663: חוקר אנונימי
WebRTC
זמין עבור: macOS Catalina ו-macOS Mojave
השפעה: תוקף מרוחק עלול להצליח לגרום למניעת שירות
תיאור: גישה לערך מצביע Null טופלה באמצעות אימות קלט משופר.
CVE-2021-23841: טביס אורמנדי מ-Google
CVE-2021-30698: טביס אורמנדי מ-Google
תודות נוספות
WebKit
אנחנו מבקשים להודות לכריס סאלס (@salls) מ-Makai Security על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.