A Safari 12 biztonsági változásjegyzéke
Ez a dokumentum a Safari 12 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
Safari 12
Safari
A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek ki tudtak szivárogtatni automatikusan kitöltött adatokat a Safariból.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2018-4307: Rafay Baloch (Pakistan Telecommunications Authority)
Safari
A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Érintett terület: Előfordult, hogy a felhasználó nem tudta törölni a böngészési előzményeket.
Leírás: Előfordult, hogy egy előzmény törlésekor nem törlődtek az átirányítási láncok révén létrejött látogatások. Az adattörlés javításával küszöböltük ki a problémát.
CVE-2018-4329: Hugo S. Diaz (coldpointblue)
Safari
A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Érintett terület: A hivatkozásokra kattintva megnyitott ártó szándékú webhelyek meg tudták hamisítani a felhasználói felületet.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy inkonzisztens felhasználói felülettel kapcsolatos problémát.
CVE-2018-4195: xisigr (Tencent; Xuanwu Lab; www.tencent.com)
WebKit
A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Érintett terület: Az ártó szándékkal létrehozott webhelyek váratlanul eltérő forrású viselkedést tudtak okozni.
Leírás: Eltérő eredetű adatokat érintő probléma állt fenn az iframe-elemek esetén. A biztonsági eredetek hatékonyabb nyomon követésével hárítottuk el a hibát.
CVE-2018-4319: John Pettitt (Google)
WebKit
A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Érintett terület: Váratlan interakció ASSERT hibát okozott.
Leírás: Hatékonyabb ellenőrzéssel elhárítottak egy memóriasérülési hibát.
CVE-2018-4191: megtaláló: OSS-Fuzz
WebKit
A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek szkripteket tudtak végrehajtani egy másik webhely kontextusában.
Leírás: Webhelyek közötti, parancsfájlt alkalmazó támadással összefüggő probléma állt fenn a Safari böngészőben. Hatékonyabb URL-ellenőrzéssel hárítottuk el a problémát.
CVE-2018-4309: anonim kutató, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
WebKit
A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.
CVE-2018-4299: Samuel Groβ (saelo), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2018-4323: Ivan Fratric (Google Project Zero)
CVE-2018-4328: Ivan Fratric (Google Project Zero)
CVE-2018-4358: @phoenhex team (@bkth_ @5aelo @_niklasb), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2018-4359: Samuel Groß (@5aelo)
CVE-2018-4360: William Bowling (@wcbowling)
WebKit
A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Érintett terület: A különböző forrású SecurityErrors magában foglalta az elért keret eredetét.
Leírás: Az eredetre vonatkozó információk eltávolításával hárítottuk el a hibát.
CVE-2018-4311: Erling Alf Ellingsen (@steike)
WebKit
A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Érintett terület: Az ártó szándékkal létrehozott webhelyek ki tudtak szivárogtatni képadatokat különböző eredetekből.
Leírás: Webhelyek közötti, parancsfájlt alkalmazó támadással összefüggő probléma állt fenn a Safari böngészőben. Hatékonyabb URL-ellenőrzéssel hárítottuk el a problémát.
CVE-2018-4345: Jun Kokatsu (@shhnjk)
WebKit
A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Érintett terület: Váratlan interakció ASSERT hibát okozott.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriafelhasználási hibát.
CVE-2018-4361: az OSS-Fuzz fedezte fel
CVE-2018-4474: megtaláló: OSS-Fuzz
WebKit
A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2018-4312: Ivan Fratric (Google Project Zero)
CVE-2018-4315: Ivan Fratric (Google Project Zero)
CVE-2018-4197: Ivan Fratric (Google Project Zero)
CVE-2018-4314: Ivan Fratric (Google Project Zero)
CVE-2018-4318: Ivan Fratric (Google Project Zero)
CVE-2018-4306: Ivan Fratric (Google Project Zero)
CVE-2018-4317: Ivan Fratric (Google Project Zero)
WebKit
A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2018-4316: crixer, Hanming Zhang (@4shitak4; Qihoo 360 Vulcan Team)
További köszönetnyilvánítás
WebKit
Köszönjük Cary Hartline, Hanming Zhang (360 Vulcan team), Tencent Keen Security Lab (a Trend Micro Zero Day Initiative kezdeményezésének közreműködője) és Zach Malone (CA Technologies) segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.