אודות תוכן האבטחה של Safari 11.1
מסמך זה מתאר את תוכן האבטחה של Safari 11.1.
אודות עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.
למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple. ניתן להצפין תקשורת עם Apple באמצעות 'מפתח PGP לאבטחת מוצר' של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
Safari 11.1
Safari
זמין עבור: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 ו-macOS High Sierra 10.13.4
השפעה: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות
תיאור: בעיה של חוסר עקביות בממשק המשתמש טופלה באמצעות ניהול מצבים משופר.
CVE-2018-4102: קאי ז'או מצוות אבטחה 3H
CVE-2018-4116: @liitleailo, xisigr מ-Xuanwu Lab של Tencent (tencent.com)
הורדות של Safari
זמין עבור: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 ו-macOS High Sierra 10.13.4
השפעה: במצב 'גלישה פרטית', הורדות מסוימות לא נמחקות מרשימת ההורדות
תיאור: הייתה בעיה של דליפת מידע בטיפול בהורדות במצב 'גלישה פרטית' ב-Safari. בעיה זו טופלה באמצעות אימות נוסף.
CVE-2018-4186: חוקר אנונימי
מילוי אוטומטי של פרטי ההתחברות ל-Safari
זמין עבור: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 ו-macOS High Sierra 10.13.4
השפעה: אתר אינטרנט זדוני עלול להצליח לחלץ נתונים במילוי אוטומטי ב-Safari ללא אינטראקציה מפורשת של משתמש.
תיאור: המילוי האוטומטי ב-Safari לא הצריך אינטראקציה מפורשת של משתמש לפני שהתרחש. הבעיה טופלה באמצעות היריסטיקה משופרת של מילוי אוטומטי.
CVE-2018-4137
WebKit
זמין עבור: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 ו-macOS High Sierra 10.13.4
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.
CVE-2018-4101: יואן דנג מ-Ant-financial Light-Year Security Lab
CVE-2018-4114: התגלה על-ידי OSS-Fuzz
CVE-2018-4118: יון קוקטסו (@shhnjk)
CVE-2018-4119: חוקר אנונימי יחד עם Zero Day Initiative של Trend Micro
CVE-2018-4120: הנמינג ז'אנג (@4shitak4) מ-Qihoo 360 Vulcan Team
CVE-2018-4121: נטאשנקה מ-Google Project Zero
CVE-2018-4122: WanderingGlitch מ-Zero Day Initiative של Trend Micro
CVE-2018-4125: WanderingGlitch מ-Zero Day Initiative של Trend Micro
CVE-2018-4127: חוקר אנונימי יחד עם Zero Day Initiative של Trend Micro
CVE-2018-4128: זאק מרקלי
CVE-2018-4129: likemeng מ-Baidu Security Lab (xlab.baidu.com) יחד עם Zero Day Initiative של Trend Micro
CVE-2018-4130: Omair יחד עם Zero Day Initiative של Trend Micro
CVE-2018-4161: WanderingGlitch מ-Zero Day Initiative של Trend Micro
CVE-2018-4162: WanderingGlitch מ-Zero Day Initiative של Trend Micro
CVE-2018-4163: WanderingGlitch מ-Zero Day Initiative של Trend Micro
CVE-2018-4165: הנמינג ז'אנג (@4shitak4) מ-Qihoo 360 Vulcan Team
WebKit
זמין עבור: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 ו-macOS High Sierra 10.13.4
השפעה: ביקור באתר אינטרנט בעל מבנה זדוני עלול להוביל להתקפת Scripting בין אתרים
תיאור: בעיית scripting מאתרים מרובים הייתה קיימת ב-Safari. בעיה זו טופלה באמצעות אימות URL משופר.
CVE-2018-4133: אנטון לופניצין מ-Wallarm, ליינוס סארוד מ-Detectify (detectify.com), יוג'י טונאי מ-NTT Communications Corporation
WebKit
זמין עבור: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 ו-macOS High Sierra 10.13.4
השפעה: אינטראקציה בלתי צפויה עם סוגי יצירת אינדקס הגורמת לכשל ASSERT
תיאור: הייתה בעיה של יצירת אינדקס מערכים בטיפול בפונקציה ב-javascript core. בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2018-4113: התגלה על-ידי OSS-Fuzz
WebKit
זמין עבור: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 ו-macOS High Sierra 10.13.4
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל למניעת שירות
תיאור: בעיית השחתת זיכרון טופלה באמצעות אימות קלט משופר.
CVE-2018-4146: התגלה על-ידי OSS-Fuzz
WebKit
זמין עבור: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 ו-macOS High Sierra 10.13.4
השפעה: אתר אינטרנט זדוני עלול לחלץ מקורות מרובים של נתונים
תיאור: בעיה של מקורות מרובים הייתה קיימת ב-API לשליפה. הבעיה טופלה באמצעות אימות קלט משופר.
CVE-2018-4117: חוקר אנונימי, חוקר אנונימי
WebKit
זמין עבור: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 ו-macOS High Sierra 10.13.4
השפעה: אינטראקציה בלתי צפויה גורמת לכשל ASSERT
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2018-4207: התגלה על-ידי OSS-Fuzz
WebKit
זמין עבור: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 ו-macOS High Sierra 10.13.4
השפעה: אינטראקציה בלתי צפויה גורמת לכשל ASSERT
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2018-4208: התגלה על-ידי OSS-Fuzz
WebKit
זמין עבור: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 ו-macOS High Sierra 10.13.4
השפעה: אינטראקציה בלתי צפויה גורמת לכשל ASSERT
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2018-4209: התגלה על-ידי OSS-Fuzz
WebKit
זמין עבור: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 ו-macOS High Sierra 10.13.4
השפעה: אינטראקציה בלתי צפויה עם סוגי יצירת אינדקס גרמה לכשל
תיאור: הייתה בעיה של יצירת אינדקס מערכים בטיפול בפונקציה ב-javascript core. בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2018-4210: התגלה על-ידי OSS-Fuzz
WebKit
זמין עבור: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 ו-macOS High Sierra 10.13.4
השפעה: אינטראקציה בלתי צפויה גורמת לכשל ASSERT
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2018-4212: התגלה על-ידי OSS-Fuzz
WebKit
זמין עבור: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 ו-macOS High Sierra 10.13.4
השפעה: אינטראקציה בלתי צפויה גורמת לכשל ASSERT
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2018-4213: התגלה על-ידי OSS-Fuzz
WebKit
זמין עבור: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 ו-macOS High Sierra 10.13.4
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.
CVE-2018-4145: התגלה על-ידי OSS-Fuzz
תודות נוספות
WebKit
אנחנו מבקשים להודות לג'וני ניפר מ-Tinder Security Team על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.