A Safari 11.1 biztonsági tartalma

Ez a dokumentum a Safari 11.1 biztonsági bejelentéseit és változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

Safari 11.1

Kiadási dátum: 2018. március 29.

Safari

A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13.4.

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy inkonzisztens felhasználói felülettel kapcsolatos problémát.

CVE-2018-4102: Kai Zhao, a 3H biztonsági csapat tagja

CVE-2018-4116: @littlelailo, xisigr (Tencent, Xuanwu Lab, tencent.com)

Safari-letöltések

A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13.4.

Érintett terület: Privát böngészési módban néhány letöltés nem törlődött a letöltések listájáról.

Leírás: Egy információkiszivárgással kapcsolatos probléma lépett fel a letöltések kezelésekor a Safari privát böngészési módjában. További ellenőrzés bevezetésével küszöböltük ki a problémát.

CVE-2018-4186: anonim kutató

Bejegyzés hozzáadva: 2018. május 2.

Safari – automatikus kitöltés bejelentkezésnél

A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13.4.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek ki tudtak szivárogtatni automatikusan kitöltött adatokat a Safariból explicit felhasználói interakció nélkül is.

Leírás: Működésbe lépése előtt a Safari automatikus kitöltési funkciója nem kért explicit felhasználói interakciót. Az automatikus kitöltési heurisztika javításával hárult el a probléma.

CVE-2018-4137

WebKit

A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13.4.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk több, memóriasérüléssel kapcsolatos problémát.

CVE-2018-4101: Yuan Deng (Ant-financial Light-Year Security Lab)

CVE-2018-4114: megtaláló: OSS-Fuzz

CVE-2018-4118: Jun Kokatsu (@shhnjk)

CVE-2018-4119: anonim kutató, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2018-4120: Hanming Zhang (@4shitak4; Qihoo 360 Vulcan Team)

CVE-2018-4121: Natalie Silvanovich (Google Project Zero)

CVE-2018-4122: WanderingGlitch, a Trend Micro Zero Day Initiative kezdeményezésének keretében

CVE-2018-4125: WanderingGlitch, a Trend Micro Zero Day Initiative kezdeményezésének keretében

CVE-2018-4127: anonim kutató, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2018-4128: Zach Markley

CVE-2018-4129: likemeng (Baidu Security Lab), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2018-4130: Omair, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2018-4161: WanderingGlitch, a Trend Micro Zero Day Initiative kezdeményezésének keretében

CVE-2018-4162: WanderingGlitch, a Trend Micro Zero Day Initiative kezdeményezésének keretében

CVE-2018-4163: WanderingGlitch, a Trend Micro Zero Day Initiative kezdeményezésének keretében

CVE-2018-4165: Hanming Zhang (@4shitak4; Qihoo 360 Vulcan Team)

WebKit

A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13.4.

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatása webhelyek közötti, parancsfájlt alkalmazó támadást tett lehetővé.

Leírás: Webhelyek közötti, parancsfájlt alkalmazó támadással összefüggő probléma állt fenn a Safari böngészőben. Hatékonyabb URL-ellenőrzéssel hárították el a problémát.

CVE-2018-4133: Anton Lopanitsyn (Wallarm), Linus Särud (Detectify, detectify.com), Yuji Tounai (NTT Communications Corporation)

WebKit

A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13.4.

Érintett terület: Váratlan interakció lépett fel indexelési típusokkal, ami ASSERT hibát okozott.

Leírás: Tömbindexszel kapcsolatos hiba lépett fel egy függvény kezelésekor a JavaScriptCore-ban. Hatékonyabb ellenőrzések beállításával küszöböltük ki a problémát.

CVE-2018-4113: megtaláló: OSS-Fuzz

WebKit

A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13.4.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozása szolgáltatásmegtagadást idézett elő.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.

CVE-2018-4146: megtaláló: OSS-Fuzz

WebKit

A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13.4.

Érintett terület: A rosszindulatú webhelyek ki tudtak szivárogtatni adatokat különböző forrásokból.

Leírás: Eltérő eredetű adatokat érintő probléma állt fenn a Fetch API esetén. Hatékonyabb bevitel-ellenőrzéssel hárították el a problémát.

CVE-2018-4117: anonim kutató, anonim kutató

WebKit

A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13.4.

Érintett terület: Váratlan interakció ASSERT hibát okozott.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2018-4207: megtaláló: OSS-Fuzz

Bejegyzés hozzáadva: 2018. május 2.

WebKit

A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13.4.

Érintett terület: Váratlan interakció ASSERT hibát okozott.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2018-4208: megtaláló: OSS-Fuzz

Bejegyzés hozzáadva: 2018. május 2.

WebKit

A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13.4.

Érintett terület: Váratlan interakció ASSERT hibát okozott.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2018-4209: megtaláló: OSS-Fuzz

Bejegyzés hozzáadva: 2018. május 2.

WebKit

A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13.4.

Érintett terület: Váratlan interakció lépett fel indexelési típusokkal, ami hibát okozott.

Leírás: Tömbindexszel kapcsolatos hiba lépett fel egy függvény kezelésekor a JavaScriptCore-ban. Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2018-4210: megtaláló: OSS-Fuzz

Bejegyzés hozzáadva: 2018. május 2.

WebKit

A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13.4.

Érintett terület: Váratlan interakció ASSERT hibát okozott.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2018-4212: megtaláló: OSS-Fuzz

Bejegyzés hozzáadva: 2018. május 2.

WebKit

A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13.4.

Érintett terület: Váratlan interakció ASSERT hibát okozott.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2018-4213: megtaláló: OSS-Fuzz

Bejegyzés hozzáadva: 2018. május 2.

További köszönetnyilvánítás

WebKit

Köszönjük Johnny Nipper (Tinder Security Team) segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: