A Safari 12 biztonsági változásjegyzéke

Ez a dokumentum a Safari 12 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

Safari 12

Kiadási dátum: 2018. szeptember 17.

Safari

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek ki tudtak szivárogtatni automatikusan kitöltött adatokat a Safariból.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2018-4307: Rafay Baloch (Pakistan Telecommunications Authority)

Bejegyzés frissítve: 2018. szeptember 24.

Safari

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Érintett terület: Előfordult, hogy a felhasználó nem tudta törölni a böngészési előzményeket.

Leírás: Előfordult, hogy egy előzmény törlésekor nem törlődtek az átirányítási láncok révén létrejött látogatások. Az adattörlés javításával küszöböltük ki a problémát.

CVE-2018-4329: Hugo S. Diaz (coldpointblue)

Bejegyzés frissítve: 2018. szeptember 24.

Safari

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Érintett terület: A hivatkozásokra kattintva megnyitott ártó szándékú webhelyek meg tudták hamisítani a felhasználói felületet.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy inkonzisztens felhasználói felülettel kapcsolatos problémát.

CVE-2018-4195: xisigr (Tencent; Xuanwu Lab; www.tencent.com)

Bejegyzés frissítve: 2018. szeptember 24.

WebKit

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Érintett terület: Az ártó szándékkal létrehozott webhelyek váratlanul eltérő forrású viselkedést tudtak okozni.

Leírás: Eltérő eredetű adatokat érintő probléma állt fenn az iframe-elemek esetén. A biztonsági eredetek hatékonyabb nyomon követésével hárítottuk el a hibát.

CVE-2018-4319: John Pettitt (Google)

Bejegyzés hozzáadva: 2018. szeptember 24.

WebKit

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Érintett terület: Váratlan interakció ASSERT hibát okozott.

Leírás: Hatékonyabb ellenőrzéssel elhárítottak egy memóriasérülési hibát.

CVE-2018-4191: megtaláló: OSS-Fuzz

Bejegyzés hozzáadva: 2018. szeptember 24.

WebKit

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek szkripteket tudtak végrehajtani egy másik webhely kontextusában.

Leírás: Webhelyek közötti, parancsfájlt alkalmazó támadással összefüggő probléma állt fenn a Safari böngészőben. Hatékonyabb URL-ellenőrzéssel hárítottuk el a problémát.

CVE-2018-4309: anonim kutató, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Bejegyzés hozzáadva: 2018. szeptember 24.

WebKit

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.

CVE-2018-4299: Samuel Groβ (saelo), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2018-4323: Ivan Fratric (Google Project Zero)

CVE-2018-4328: Ivan Fratric (Google Project Zero)

CVE-2018-4358: @phoenhex team (@bkth_ @5aelo @_niklasb), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2018-4359: Samuel Groß (@5aelo)

CVE-2018-4360: William Bowling (@wcbowling)

Bejegyzés hozzáadva 2018. szeptember 24-én, frissítve 2018. október 24-én.

WebKit

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Érintett terület: A különböző forrású SecurityErrors magában foglalta az elért keret eredetét.

Leírás: Az eredetre vonatkozó információk eltávolításával hárítottuk el a hibát.

CVE-2018-4311: Erling Alf Ellingsen (@steike)

Bejegyzés hozzáadva: 2018. szeptember 24.

WebKit

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Érintett terület: Az ártó szándékkal létrehozott webhelyek ki tudtak szivárogtatni képadatokat különböző eredetekből.

Leírás: Webhelyek közötti, parancsfájlt alkalmazó támadással összefüggő probléma állt fenn a Safari böngészőben. Hatékonyabb URL-ellenőrzéssel hárítottuk el a problémát.

CVE-2018-4345: Jun Kokatsu (@shhnjk)

Bejegyzés hozzáadva 2018. október 24-én, frissítve 2018. december 18-án.

WebKit

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Érintett terület: Váratlan interakció ASSERT hibát okozott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriafelhasználási hibát.

CVE-2018-4361: az OSS-Fuzz fedezte fel

CVE-2018-4474: megtaláló: OSS-Fuzz

Bejegyzés hozzáadva: 2018. szeptember 24., frissítve: 2019. január 22.

WebKit

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2018-4312: Ivan Fratric (Google Project Zero)

CVE-2018-4315: Ivan Fratric (Google Project Zero)

CVE-2018-4197: Ivan Fratric (Google Project Zero)

CVE-2018-4314: Ivan Fratric (Google Project Zero)

CVE-2018-4318: Ivan Fratric (Google Project Zero)

CVE-2018-4306: Ivan Fratric (Google Project Zero)

CVE-2018-4317: Ivan Fratric (Google Project Zero)

Bejegyzés hozzáadva: 2018. szeptember 24.

WebKit

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4316: crixer, Hanming Zhang (@4shitak4; Qihoo 360 Vulcan Team)

Bejegyzés hozzáadva: 2018. szeptember 24.

További köszönetnyilvánítás

WebKit

Köszönjük Cary Hartline, Hanming Zhang (360 Vulcan team), Tencent Keen Security Lab (a Trend Micro Zero Day Initiative kezdeményezésének közreműködője) és Zach Malone (CA Technologies) segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: