אודות תוכן האבטחה של Safari 13.1

מסמך זה מתאר את תוכן האבטחה של Safari 13.1.

אודות עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple.

Safari 13.1

הושק ב-24 במארס 2020

הורדות של Safari

זמין עבור: macOS Mojave ו-macOS High Sierra וכלול ב-macOS Catalina

השפעה: ייתכן ש-iframe זדוני יוכל להשתמש בהגדרות הורדה של אתר אחר.

תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.

CVE-2020-9784: רוילין יאנג מ-Tencent Security Xuanwu Lab, ראיין פיקרן (ryanpickren.com)

WebKit

זמין עבור: macOS Mojave ו-macOS High Sierra וכלול ב-macOS Catalina

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר בזיכרון.

CVE-2020-3901: בנג'מין רנדאזו (‎@____benjamin)

WebKit

זמין עבור: macOS Mojave ו-macOS High Sierra וכלול ב-macOS Catalina

השפעה: מקור הורדה עשוי להיות משויך באופן שגוי

תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.

CVE-2020-3887: ריאן פיקרן (ryanpickren.com)

WebKit

זמין עבור: macOS Mojave ו-macOS High Sierra וכלול ב-macOS Catalina

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE -2020-3895:‏ grigoritchy

CVE-2020-3900: דונגג'ו ג'או בעבודה עם ADLab של Venustech

WebKit

זמין עבור: macOS Mojave ו-macOS High Sierra וכלול ב-macOS Catalina

השפעה: אפליקציה עלולה להצליח לקרוא זיכרון מוגבל

תיאור: מצב מירוץ טופל באמצעות אימות נוסף.

CVE-2020-3894:‏ סרגיי גלזונוב מ-Google Project Zero

WebKit

זמין עבור: macOS Mojave ו-macOS High Sierra וכלול ב-macOS Catalina

השפעה: תוקף מרוחק עלול להצליח להפעיל קוד שרירותי

תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר בזיכרון.

CVE-2020-3897: ברנדן דרייפר (‎@6r3nd4n) בעבודה עם Zero Day Initiative של Trend Micro

WebKit

זמין עבור: macOS Mojave ו-macOS High Sierra וכלול ב-macOS Catalina

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2020-9783:‏ Apple

WebKit

זמין עבור: macOS Mojave ו-macOS High Sierra וכלול ב-macOS Catalina

השפעה: תוקף מרוחק עלול להצליח להפעיל קוד שרירותי

תיאור: בעיית צריכת זיכרון נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2020-3899: התגלה על-ידי OSS-Fuzz

WebKit

זמין עבור: macOS Mojave ו-macOS High Sierra וכלול ב-macOS Catalina

השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול לגרום להתקפת Scripting בין אתרים

תיאור: בעיית אימות קלט טופלה באמצעות אימות קלט משופר.

CVE-2020-3902: ‏ייגיט ג'ן ילמז ‏(‎@yilmazcanyigit)

טעינת עמוד WebKit

זמין עבור: macOS Mojave ו-macOS High Sierra וכלול ב-macOS Catalina

השפעה: כתובת URL של קובץ מעובדת באופן שגוי

תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.

CVE-2020-3885: ריאן פיקרן (ryanpickren.com)

תודות נוספות

Safari

אנחנו מבקשים להודות לדלייב מ-Tencent Security Xuanwu Lab, יאצק קולודזיי מ-Procter & Gamble ולג'אסטין טאפט מ-One Up Security, LLC על הסיוע.

הרחבות ל-Safari

אנחנו מבקשים להודות לג'ף גונסון מ-underpassapp.com על הסיוע.

הקורא של Safari

אנחנו מבקשים להודות לניקיל מיטאל (‎@c0d3G33k) מ-Payatu Labs (payatu.com)‎ על הסיוע.

WebKit

אנחנו מבקשים להודות לאמיליו קובוס אלבארס מ-Mozilla, סמואל גרוס מ-Google Project Zero, ‏hearmen על הסיוע.

הערך עודכן ב-4 באפריל 2020

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

Published Date: 14 באפריל 2020

מועיל?