Informacije o sigurnosnom sadržaju sustava Safari 11.1

U ovom se dokumentu opisuje sigurnosni sadržaj sustava Safari 11.1.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Safari 11.1

Objavljeno 29. ožujka 2018.

Safari

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13.4

Učinak: posjet zlonamjernom web-mjestu može izazvati krivotvorenje adresne trake

Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.

CVE-2018-4102: Kai Zhao (Sigurnosni tim 3H)

CVE-2018-4116: @littlelailo, xisigr (Laboratorij Xuanwu tvrtke Tencent (tencent.com))

Preuzimanja putem preglednika Safari

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13.4

Učinak: u Privatnom pretraživanju neka preuzimanja nisu uklonjena s popisa preuzetih sadržaja

Opis: problem s curenjem informacija postojao je prilikom upravljanja preuzetim sadržajima u privatnom načinu pretraživanja putem preglednika Safari. Problem je riješen dodatnom provjerom valjanosti.

CVE-2018-4186: anonimni istraživač

Unos dodan 2. svibnja 2018.

Automatska ispuna prilikom prijave u pregledniku Safari

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13.4

Učinak: zlonamjerno web-mjesto moglo je otkriti podatke automatski unesene u pregledniku Safari bez izričite akcije korisnika.

Opis: automatska ispuna u pregledniku Safari nije prethodno tražila izričitu akciju korisnika. Problem je riješen poboljšanom heuristikom automatske ispune.

CVE-2018-4137

Unos ažuriran 16. studenoga 2018.

WebKit

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13.4

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2018-4101: Yuan Deng (Ant-financial Light-Year Security Lab)

CVE-2018-4114: otkrio OSS-Fuzz

CVE-2018-4118: Jun Kokatsu (@shhnjk)

CVE-2018-4119: anonimni istraživač i inicijativa Zero Day (Trend Micro)

CVE-2018-4120: Hanming Zhang (@4shitak4) (tim Vulcan, Qihoo 360)

CVE-2018-4121: natashenka (Google Project Zero)

CVE-2018-4122: WanderingGlitch inicijative Zero Day (Trend Micro)

CVE-2018-4125: WanderingGlitch inicijative Zero Day (Trend Micro)

CVE-2018-4127: anonimni istraživač i inicijativa Zero Day (Trend Micro)

CVE-2018-4128: Zach Markley

CVE-2018-4129: likemeng (Baidu Security Lab) i inicijativa Zero Day (Trend Micro)

CVE-2018-4130: Omair i inicijativa Zero Day (Trend Micro)

CVE-2018-4161: WanderingGlitch inicijative Zero Day (Trend Micro)

CVE-2018-4162: WanderingGlitch inicijative Zero Day (Trend Micro)

CVE-2018-4163: WanderingGlitch inicijative Zero Day (Trend Micro)

CVE-2018-4165: Hanming Zhang (@4shitak4) (Qihoo 360 Vulcan Team)

WebKit

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13.4

Učinak: posjet zlonamjernom web-mjestu mogao je uzrokovati napad unakrsnim skriptiranjem na više web-mjesta

Opis: u pregledniku Safari otkriven je problem sa skriptiranjem na više stranica. Problem je riješen poboljšanom provjerom valjanosti URL-a.

CVE-2018-4133: Anton Lopanitsyn (Wallarm), Linus Särud (Detectify) (detectify.com), Yuji Tounai (NTT Communications Corporation)

WebKit

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13.4

Učinak: neočekivana interakcija s vrstama indeksiranja uzrokovala je pogrešku ASSERT

Opis: pri rukovanju funkcijom u jezgri javascripta postojao je problem s indeksiranjem polja. Problem je riješen poboljšanim provjerama.

CVE-2018-4113: otkrio OSS-Fuzz

WebKit

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13.4

Učinak: obradom zlonamjernog web-sadržaja moglo se izazvati odbijanje usluge

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2018-4146: otkrio OSS-Fuzz

WebKit

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13.4

Učinak: zlonamjerne internetske stranice mogle su doznati sve izvore podataka

Opis: prilikom dohvaćanja API-ja postojao je problem različitih izvora. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2018-4117: anonimni istraživač, anonimni istraživač

WebKit

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13.4

Učinak: neočekivana interakcija uzrokuje kvar ASSERT

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2018-4207: otkrio OSS-Fuzz

Unos dodan 2. svibnja 2018.

WebKit

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13.4

Učinak: neočekivana interakcija uzrokuje kvar ASSERT

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2018-4208: otkrio OSS-Fuzz

Unos dodan 2. svibnja 2018.

WebKit

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13.4

Učinak: neočekivana interakcija uzrokuje kvar ASSERT

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2018-4209: otkrio OSS-Fuzz

Unos dodan 2. svibnja 2018.

WebKit

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13.4

Učinak: neočekivana interakcija s vrstama indeksiranja uzrokovala je kvar

Opis: pri rukovanju funkcijom u jezgri javascripta postojao je problem s indeksiranjem polja. Taj je problem riješen poboljšanom provjerom autentičnosti.

CVE-2018-4210: otkrio OSS-Fuzz

Unos dodan 2. svibnja 2018.

WebKit

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13.4

Učinak: neočekivana interakcija uzrokuje kvar ASSERT

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2018-4212: otkrio OSS-Fuzz

Unos dodan 2. svibnja 2018.

WebKit

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13.4

Učinak: neočekivana interakcija uzrokuje kvar ASSERT

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2018-4213: otkrio OSS-Fuzz

Unos dodan 2. svibnja 2018.

WebKit

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13.4

Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2018-4145: otkrio OSS-Fuzz

Unos je dodan 18. listopada 2018.

Dodatna zahvala

WebKit

Na pomoći zahvaljujemo Johnnyju Nipperu iz tima za sigurnost aplikacije Tinder.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: