אודות תוכן האבטחה של Safari 15

מסמך זה מתאר את תוכן האבטחה של Safari 15.

אודות עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

למידע נוסף בנושא אבטחה, עיינו בדף אבטחת מוצרי Apple.

Safari 15

הופץ ב-20 בספטמבר 2021

WebKit

זמין עבור: macOS Big Sur ו-macOS Catalina

השפעה: עיבוד קובץ שמע בעל מבנה זדוני עלול לחשוף זיכרון מוגבל

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2021-30836: פיטר נויין וו הואנג מ-STAR Labs

הערך נוסף ב-18 בנובמבר 2021

WebKit

זמין עבור: macOS Big Sur ו-macOS Catalina

השפעה: אפליקציה זדונית עלולה להצליח לעקוף את הבדיקות של Gatekeeper

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2021-30861: ראיין פיקרן (ryanpickren.com), וויצ'י רגולה (@_r3ggi)

הערך נוסף ב-18 בנובמבר 2021

WebKit

זמין עבור: macOS Big Sur ו-macOS Catalina

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר במצב.

CVE-2021-30818: אמאר מנזס (‎@amarekano) מ-Zon8Research

הערך נוסף ב-25 באוקטובר 2021

WebKit

זמין עבור: macOS Big Sur ו-macOS Catalina

השפעה: ייתכן שתוקף במיקום מורשה ברשת יוכל לעקוף את HSTS

תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.

CVE-2021-30823: דיוויד גולאש מ-Recurity Labs

הערך נוסף ב-25 באוקטובר 2021

WebKit

זמין עבור: macOS Big Sur ו-macOS Catalina

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2021-30809: ‏חוקר אנונימי

הערך נוסף ב-25 באוקטובר 2021

WebKit

זמין עבור: macOS Big Sur ו-macOS Catalina

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2021-30846:‏ סרגיי גלזונוב מ-Google Project Zero

WebKit

זמין עבור: macOS Big Sur ו-macOS Catalina

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2021-30848:‏ סרגיי גלזונוב מ-Google Project Zero

WebKit

זמין עבור: macOS Big Sur ו-macOS Catalina

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.

CVE-2021-30849:‏ סרגיי גלזונוב מ-Google Project Zero

WebKit

זמין עבור: macOS Big Sur ו-macOS Catalina

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד

תיאור: נקודת תורפה של השחתת זיכרון טופלה באמצעות נעילה משופרת.

CVE-2021-30851: סמואל גרוס מ-Google Project Zero

WebRTC

זמין עבור: macOS Big Sur ו-macOS Catalina

השפעה: ייתכן שתוקף יוכל לעקוב אחר משתמשים באמצעות כתובת ה-IP שלהם

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2021-30930: אוגוז קיראט, מתיאס קלר (m-keller.com)

הרשומה נוספה ב-25 במאי 2022 ועודכנה ב-16 בספטמבר 2022

תודות נוספות

WebKit

אנחנו מבקשים להודות לניחיל מיטאל (@c0d3G33k) על הסיוע.

הערך נוסף ב-18 בנובמבר 2021

WebRTC

אנחנו מבקשים להודות למתיאס קלר (m-keller.com) על הסיוע.

הערך נוסף ב-18 בנובמבר 2021

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

Published Date: