מידע על תוכן האבטחה של Safari 13.1.2

מסמך זה מתאר את תוכן האבטחה של Safari 13.1.2.

אודות עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple.

Safari 13.1.2

הופץ ב-15 ביולי 2020

הורדות של Safari

זמין עבור: macOS Mojave ו-macOS High Sierra, וכלול ב-macOS Catalina

השפעה: תוקף זדוני עלול לשנות את המקור של מסגרת להורדה במצב 'הקורא של Safari'

תיאור: בעיה לוגית טופלה באמצעות הגבלות משופרות.

CVE-2020-9912: ניקיל מיטאל (‎@c0d3G33k) מ-Payatu Labs ‏(payatu.com)

מילוי אוטומטי של Safari להתחברות

זמין עבור: macOS Mojave ו-macOS High Sierra, וכלול ב-macOS Catalina

השפעה: תוקף זדוני עלול לגרום ל-Safari להציע סיסמה למתחם הלא נכון

תיאור: בעיה לוגית טופלה באמצעות הגבלות משופרות.

CVE-2020-9903: ניקיל מיטאל (‎@c0d3G33k) מ-Payatu Labs ‏(payatu.com)

הקורא של Safari

זמין עבור: macOS Mojave ו-macOS High Sierra, וכלול ב-macOS Catalina

השפעה: בעיה במצב 'הקורא של Safari' עלולה לאפשר לתוקף מרוחק לעקוף את Same Origin Policy

תיאור: בעיה לוגית טופלה באמצעות הגבלות משופרות.

CVE-2020-9911: ניקיל מיטאל (‎@c0d3G33k) מ-Payatu Labs ‏(payatu.com)

WebKit

זמין עבור: macOS Mojave ו-macOS High Sierra, וכלול ב-macOS Catalina

השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של אפליקציה או הפעלת קוד שרירותי

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2020-9894:‏ 0011 יחד עם Zero Day Initiative של Trend Micro

WebKit

זמין עבור: macOS Mojave ו-macOS High Sierra, וכלול ב-macOS Catalina

השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול למנוע אכיפה של מדיניות אבטחת תוכן

תיאור: בעיית גישה הייתה קיימת במדיניות אבטחת תוכן.  בעיה זו טופלה באמצעות הגבלות גישה משופרות.

CVE-2020-9915: איוב איית אלמוכתאר מ-Noon

הערך עודכן ב-28 ביולי 2020

WebKit

זמין עבור: macOS Mojave ו-macOS High Sierra, וכלול ב-macOS Catalina

השפעה: עיבוד תוכן אינטרנטי בעל מבנה זדוני עלול לגרום ל-Scripting אוניברסלי בין אתרים

תיאור: בעיה לוגית טופלה באמצעות ניהול מצב משופר.

CVE-2020-9925: חוקר אנונימי

WebKit

זמין עבור: macOS Mojave ו-macOS High Sierra, וכלול ב-macOS Catalina

השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של אפליקציה או הפעלת קוד שרירותי

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2020-9893:‏ 0011 יחד עם Zero Day Initiative של Trend Micro

CVE-2020-9895:‏ וון שו מ-SSLab, ‏Georgia Tech

WebKit

זמין עבור: macOS Mojave ו-macOS High Sierra, וכלול ב-macOS Catalina

השפעה: תוקף זדוני עם יכולות קריאה וכתיבה שרירותיות עלול לעקוף 'אימות מצביע'

תיאור: מספר בעיות טופלו באמצעות לוגיקה משופרת.

CVE-2020-9910:‏ סמואל גרוס מ-Google Project Zero

טעינת עמוד WebKit

זמין עבור: macOS Mojave ו-macOS High Sierra, וכלול ב-macOS Catalina

השפעה: תוקף זדוני עלול להסתיר יעד של כתובת URL

תיאור: בעיה בקידוד Unicode של כתובת URL טופלה באמצעות ניהול מצבים משופר.

CVE-2020-9916: ראקש מאנה (‎@RakeshMane10)

WebKit Web Inspector

זמין עבור: macOS Mojave ו-macOS High Sierra, וכלול ב-macOS Catalina

השפעה: העתקת כתובת URL מ-Web Inspector עלולה לגרום להחדרת פקודה

תיאור: בעיה של החדרת פקודה הייתה קיימת ב-Web Inspector. בעיה זו טופלה באמצעות יכולת ביטול משופרת.

CVE-2020-9862: אופיר לוז'קין (‎@lovasoa)

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

תאריך פרסום: