A Safari 11.1 biztonsági változásjegyzéke
Ez a dokumentum a Safari 11.1 biztonsági bejelentéseit és változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
Safari 11.1
Safari
A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13.4.
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy inkonzisztens felhasználói felülettel kapcsolatos problémát.
CVE-2018-4102: Kai Zhao, a 3H biztonsági csapat tagja
CVE-2018-4116: @littlelailo, xisigr (Tencent, Xuanwu Lab, tencent.com)
Safari-letöltések
A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13.4.
Érintett terület: Privát böngészési módban néhány letöltés nem törlődött a letöltések listájáról.
Leírás: Egy információkiszivárgással kapcsolatos probléma lépett fel a letöltések kezelésekor a Safari privát böngészési módjában. További ellenőrzés bevezetésével küszöböltük ki a problémát.
CVE-2018-4186: anonim kutató
Safari – automatikus kitöltés bejelentkezésnél
A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13.4.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek ki tudtak szivárogtatni automatikusan kitöltött adatokat a Safariból explicit felhasználói interakció nélkül is.
Leírás: Működésbe lépése előtt a Safari automatikus kitöltési funkciója nem kért explicit felhasználói interakciót. Az automatikus kitöltési heurisztika javításával hárítottuk el a problémát.
CVE-2018-4137
WebKit
A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13.4.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.
CVE-2018-4101: Yuan Deng (Ant-financial Light-Year Security Lab)
CVE-2018-4114: az OSS-Fuzz fedezte fel
CVE-2018-4118: Jun Kokatsu (@shhnjk)
CVE-2018-4119: anonim kutató, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2018-4120: Hanming Zhang (@4shitak4; Qihoo 360 Vulcan Team)
CVE-2018-4121: natashenka (Google Project Zero)
CVE-2018-4122: WanderingGlitch, a Trend Micro Zero Day Initiative kezdeményezésének keretében
CVE-2018-4125: WanderingGlitch, a Trend Micro Zero Day Initiative kezdeményezésének keretében
CVE-2018-4127: anonim kutató, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2018-4128: Zach Markley
CVE-2018-4129: likemeng (Baidu Security Lab), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2018-4130: Omair, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2018-4161: WanderingGlitch, a Trend Micro Zero Day Initiative kezdeményezésének keretében
CVE-2018-4162: WanderingGlitch, a Trend Micro Zero Day Initiative kezdeményezésének keretében
CVE-2018-4163: WanderingGlitch, a Trend Micro Zero Day Initiative kezdeményezésének keretében
CVE-2018-4165: Hanming Zhang (@4shitak4; Qihoo 360 Vulcan Team)
WebKit
A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13.4.
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatása webhelyek közötti, parancsfájlt alkalmazó támadást tett lehetővé.
Leírás: Webhelyek közötti, parancsfájlt alkalmazó támadással összefüggő probléma állt fenn a Safari böngészőben. Hatékonyabb URL-ellenőrzéssel hárítottuk el a problémát.
CVE-2018-4133: Anton Lopanitsyn (Wallarm), Linus Särud (Detectify, detectify.com), Yuji Tounai (NTT Communications Corporation)
WebKit
A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13.4.
Érintett terület: Váratlan interakció lépett fel indexelési típusokkal, ami ASSERT hibát okozott.
Leírás: Tömbindexszel kapcsolatos hiba lépett fel egy függvény kezelésekor a JavaScriptCore-ban. Hatékonyabb ellenőrzések beállításával küszöböltük ki a problémát.
CVE-2018-4113: az OSS-Fuzz fedezte fel
WebKit
A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13.4.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozása szolgáltatásmegtagadást idézett elő.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.
CVE-2018-4146: az OSS-Fuzz fedezte fel
WebKit
A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13.4.
Érintett terület: A rosszindulatú webhelyek ki tudtak szivárogtatni adatokat különböző forrásokból.
Leírás: Eltérő eredetű adatokat érintő probléma állt fenn a Fetch API esetén. Hatékonyabb bevitel-ellenőrzéssel hárították el a problémát.
CVE-2018-4117: anonim kutató, anonim kutató
WebKit
A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13.4.
Érintett terület: Váratlan interakció ASSERT hibát okozott.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2018-4207: az OSS-Fuzz fedezte fel
WebKit
A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13.4.
Érintett terület: Váratlan interakció ASSERT hibát okozott.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2018-4208: az OSS-Fuzz fedezte fel
WebKit
A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13.4.
Érintett terület: Váratlan interakció ASSERT hibát okozott.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2018-4209: az OSS-Fuzz fedezte fel
WebKit
A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13.4.
Érintett terület: Váratlan interakció lépett fel indexelési típusokkal, ami hibát okozott.
Leírás: Tömbindexszel kapcsolatos hiba lépett fel egy függvény kezelésekor a JavaScriptCore-ban. Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2018-4210: az OSS-Fuzz fedezte fel
WebKit
A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13.4.
Érintett terület: Váratlan interakció ASSERT hibát okozott.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2018-4212: az OSS-Fuzz fedezte fel
WebKit
A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13.4.
Érintett terület: Váratlan interakció ASSERT hibát okozott.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2018-4213: az OSS-Fuzz fedezte fel
WebKit
A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13.4.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.
CVE-2018-4145: az OSS-Fuzz fedezte fel
További köszönetnyilvánítás
WebKit
Köszönjük Johnny Nipper (Tinder Security Team) segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.