Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Safari 13.1.2
Kiadás dátuma: 2020. július 15.
Safari
A következőkhöz érhető el: macOS Mojave és macOS High Sierra, valamint a macOS Catalina részét képezi.
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy inkonzisztens felhasználói felülettel kapcsolatos problémát.
CVE-2020-9942: anonim kutató, Rahul d Kankrale (servicenger.com), Rayyan Bijoora (@Bijoora; The City School, PAF Chapter), Ruilin Yang (Tencent Security Xuanwu Lab), YoKo Kho (@YoKoAcc; PT Telekomunikasi Indonesia (Persero) Tbk), Zhiyang Zeng (@Wester; OPPO ZIWU Security Lab)
Bejegyzés hozzáadva: 2020. november 12.
Safari-letöltések
A következőkhöz érhető el: macOS Mojave és macOS High Sierra, valamint a macOS Catalina részét képezi.
Érintett terület: Letöltés esetén a rosszindulatú támadók módosítani tudták a keretek eredetét a Safari Olvasó módjában.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2020-9912: Nikhil Mittal (@c0d3G33k; Payatu Labs; payatu.com)
Safari – automatikus kitöltés bejelentkezésnél
A következőkhöz érhető el: macOS Mojave és macOS High Sierra, valamint a macOS Catalina részét képezi.
Érintett terület: A rosszindulatú támadók elérhették, hogy a Safari rossz tartományhoz javasoljon jelszót.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2020-9903: Nikhil Mittal (@c0d3G33k; Payatu Labs; payatu.com)
Safari olvasó
A következőkhöz érhető el: macOS Mojave és macOS High Sierra, valamint a macOS Catalina részét képezi.
Érintett terület: A Safari Olvasó módjában fennálló probléma miatt a távoli támadók megkerülhették az Azonos eredetre vonatkozó szabályzatot.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2020-9911: Nikhil Mittal (@c0d3G33k; Payatu Labs; payatu.com)
WebKit
A következőkhöz érhető el: macOS Mojave és macOS High Sierra, valamint a macOS Catalina részét képezi.
Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2020-9894: 0011, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
WebKit
A következőkhöz érhető el: macOS Mojave és macOS High Sierra, valamint a macOS Catalina részét képezi.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása megakadályozhatta a Tartalombiztonsági szabályzat érvényesítését.
Leírás: Egy hozzáférési hiba állt fenn a Tartalombiztonsági szabályzatban. Hatékonyabb hozzáférés-korlátozással hárítottuk el a problémát.
CVE-2020-9915: Ayoub AIT ELMOKHTAR (Noon)
Bejegyzés frissítve: 2020. július 28.
WebKit
A következőkhöz érhető el: macOS Mojave és macOS High Sierra, valamint a macOS Catalina részét képezi.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2020-9925: anonim kutató
WebKit
A következőkhöz érhető el: macOS Mojave és macOS High Sierra, valamint a macOS Catalina részét képezi.
Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2020-9893: 0011, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2020-9895: Wen Xu (SSLab, Georgia Tech)
WebKit
A következőkhöz érhető el: macOS Mojave és macOS High Sierra, valamint a macOS Catalina részét képezi.
Érintett terület: A rosszindulatú támadók tetszőleges olvasási és írási képesség birtokában megkerülhették a Mutatóhitelesítést.
Leírás: Továbbfejlesztett logikával hárítottunk el több problémát.
CVE-2020-9910: Samuel Groß (Google Project Zero)
WebKit-oldalbetöltés
A következőkhöz érhető el: macOS Mojave és macOS High Sierra, valamint a macOS Catalina részét képezi.
Érintett terület: A rosszindulatú támadók elrejthették az URL-ek célját.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy, az URL-címek Unicode-kódolásával kapcsolatos hibát.
CVE-2020-9916: Rakesh Mane (@RakeshMane10)
WebKit Web Inspector
A következőkhöz érhető el: macOS Mojave és macOS High Sierra, valamint a macOS Catalina részét képezi.
Érintett terület: Az URL-címek Webvizsgálóból való kimásolása parancsbeszúrásra adhatott lehetőséget.
Leírás: Parancsbeszúrásra lehetőséget adó hiba állt fenn a Webvizsgálóban. A különleges karakterek hatékonyabb elkerülésével hárítottuk el a problémát.
CVE-2020-9862: Ophir Lojkine (@lovasoa)
WebRTC
A következőkhöz érhető el: macOS Mojave és macOS High Sierra, valamint a macOS Catalina részét képezi.
Érintett terület: A magas hálózati jogosultságú támadók halommemória-sérülést tudtak előidézni egy általuk létrehozott SCTP-adatfolyam révén.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2020-6514: natashenka (Google Project Zero)
Bejegyzés hozzáadva: 2020. szeptember 21.