A Safari 13.1.2 biztonsági változásjegyzéke

Ez a dokumentum a Safari 13.1.2 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Safari 13.1.2

Safari

A következőkhöz érhető el: macOS Mojave és macOS High Sierra, valamint a macOS Catalina részét képezi.

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy inkonzisztens felhasználói felülettel kapcsolatos problémát.

CVE-2020-9942: anonim kutató, Rahul d Kankrale (servicenger.com), Rayyan Bijoora (@Bijoora; The City School, PAF Chapter), Ruilin Yang (Tencent Security Xuanwu Lab), YoKo Kho (@YoKoAcc; PT Telekomunikasi Indonesia (Persero) Tbk), Zhiyang Zeng (@Wester; OPPO ZIWU Security Lab)

Safari-letöltések

A következőkhöz érhető el: macOS Mojave és macOS High Sierra, valamint a macOS Catalina részét képezi.

Érintett terület: Letöltés esetén a rosszindulatú támadók módosítani tudták a keretek eredetét a Safari Olvasó módjában.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2020-9912: Nikhil Mittal (@c0d3G33k; Payatu Labs; payatu.com)

Safari – automatikus kitöltés bejelentkezésnél

A következőkhöz érhető el: macOS Mojave és macOS High Sierra, valamint a macOS Catalina részét képezi.

Érintett terület: A rosszindulatú támadók elérhették, hogy a Safari rossz tartományhoz javasoljon jelszót.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2020-9903: Nikhil Mittal (@c0d3G33k; Payatu Labs; payatu.com)

Safari olvasó

A következőkhöz érhető el: macOS Mojave és macOS High Sierra, valamint a macOS Catalina részét képezi.

Érintett terület: A Safari Olvasó módjában fennálló probléma miatt a távoli támadók megkerülhették az Azonos eredetre vonatkozó szabályzatot.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2020-9911: Nikhil Mittal (@c0d3G33k; Payatu Labs; payatu.com)

WebKit

A következőkhöz érhető el: macOS Mojave és macOS High Sierra, valamint a macOS Catalina részét képezi.

Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2020-9894: 0011, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

WebKit

A következőkhöz érhető el: macOS Mojave és macOS High Sierra, valamint a macOS Catalina részét képezi.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása megakadályozhatta a Tartalombiztonsági szabályzat érvényesítését.

Leírás: Egy hozzáférési hiba állt fenn a Tartalombiztonsági szabályzatban. Hatékonyabb hozzáférés-korlátozással hárítottuk el a problémát.

CVE-2020-9915: Ayoub AIT ELMOKHTAR (Noon)

WebKit

A következőkhöz érhető el: macOS Mojave és macOS High Sierra, valamint a macOS Catalina részét képezi.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2020-9925: anonim kutató

WebKit

A következőkhöz érhető el: macOS Mojave és macOS High Sierra, valamint a macOS Catalina részét képezi.

Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2020-9893: 0011, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2020-9895: Wen Xu (SSLab, Georgia Tech)

WebKit

A következőkhöz érhető el: macOS Mojave és macOS High Sierra, valamint a macOS Catalina részét képezi.

Érintett terület: A rosszindulatú támadók tetszőleges olvasási és írási képesség birtokában megkerülhették a Mutatóhitelesítést.

Leírás: Továbbfejlesztett logikával hárítottunk el több problémát.

CVE-2020-9910: Samuel Groß (Google Project Zero)

WebKit-oldalbetöltés

A következőkhöz érhető el: macOS Mojave és macOS High Sierra, valamint a macOS Catalina részét képezi.

Érintett terület: A rosszindulatú támadók elrejthették az URL-ek célját.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy, az URL-címek Unicode-kódolásával kapcsolatos hibát.

CVE-2020-9916: Rakesh Mane (@RakeshMane10)

WebKit Web Inspector

A következőkhöz érhető el: macOS Mojave és macOS High Sierra, valamint a macOS Catalina részét képezi.

Érintett terület: Az URL-címek Webvizsgálóból való kimásolása parancsbeszúrásra adhatott lehetőséget.

Leírás: Parancsbeszúrásra lehetőséget adó hiba állt fenn a Webvizsgálóban. A különleges karakterek hatékonyabb elkerülésével hárítottuk el a problémát.

CVE-2020-9862: Ophir Lojkine (@lovasoa)

WebRTC

A következőkhöz érhető el: macOS Mojave és macOS High Sierra, valamint a macOS Catalina részét képezi.

Érintett terület: A magas hálózati jogosultságú támadók halommemória-sérülést tudtak előidézni egy általuk létrehozott SCTP-adatfolyam révén.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2020-6514: natashenka (Google Project Zero)