Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
Safari 13.1
Objavljeno 24. ožujka 2020.
Preuzimanja za Safari
Dostupno za sustave macOS Mojave i macOS High Sierra, uključeno u sustav macOS Catalina
Učinak: zlonamjerni iframe mogao je koristiti postavke preuzimanja drugog web-mjesta
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2020-9784: Ruilin Yang (Tencentov Security Xuanwu Lab), Ryan Pickren (ryanpickren.com)
WebKit
Dostupno za sustave macOS Mojave i macOS High Sierra, uključeno u sustav macOS Catalina
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.
CVE-2020-3901: Benjamin Randazzo (@____benjamin)
WebKit
Dostupno za sustave macOS Mojave i macOS High Sierra, uključeno u sustav macOS Catalina
Učinak: podrijetlo preuzimanja može biti neispravno zaključeno
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2020-3887: Ryan Pickren (ryanpickren.com)
WebKit
Dostupno za sustave macOS Mojave i macOS High Sierra, uključeno u sustav macOS Catalina
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2020-3895: grigoritchy
CVE-2020-3900: Dongzhuo Zhao u suradnji s laboratorijem ADLab (Venustech)
WebKit
Dostupno za sustave macOS Mojave i macOS High Sierra, uključeno u sustav macOS Catalina
Učinak: neke aplikacije mogu čitati ograničenu memoriju
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2020-3894: Sergei Glazunov (Google Project Zero)
WebKit
Dostupno za sustave macOS Mojave i macOS High Sierra, uključeno u sustav macOS Catalina
Učinak: udaljeni napadač može uzrokovati arbitrarno izvršavanje koda
Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.
CVE-2020-3897: Brendan Draper (@6r3nd4n) u suradnji s inicijativom Zero Day (Trend Micro)
WebKit
Dostupno za sustave macOS Mojave i macOS High Sierra, uključeno u sustav macOS Catalina
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2020-9783: Apple
WebKit
Dostupno za sustave macOS Mojave i macOS High Sierra, uključeno u sustav macOS Catalina
Učinak: udaljeni napadač može uzrokovati arbitrarno izvršavanje koda
Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2020-3899: otkrio OSS-Fuzz
WebKit
Dostupno za sustave macOS Mojave i macOS High Sierra, uključeno u sustav macOS Catalina
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do napada unakrsnim skriptiranjem na više web-mjesta
Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-3902: Yiğit Can YILMAZ (@yilmazcanyigit)
Učitavanje stranice WebKita
Dostupno za sustave macOS Mojave i macOS High Sierra, uključeno u sustav macOS Catalina
Učinak: URL datoteke može se neispravno obrađivati
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2020-3885: Ryan Pickren (ryanpickren.com)
Dodatna zahvala
Safari
Zahvaljujemo Dliveu (Tencent Security Xuanwu Lab), Jaceku Kolodzieju (Procter & Gamble) i Justinu Taftu (One Up Security, LLC) na pomoći.
Dodaci za Safari
Zahvaljujemo Jeffu Johnsonu (underpassapp.com) na pomoći.
Čitač za Safari
Zahvaljujemo Nikhilu Mittalu (@c0d3G33k) (Payatu Labs, payatu.com) na pomoći.
WebKit
Željeli bismo zahvaliti Emiliju Cobosu Álvarezu (Mozilla) i Samuelu Großu (Google Project Zero) na pomoći.
Unos je ažuriran 4. travnja 2020.