Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.
Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple. Anda dapat mengenkripsi komunikasi dengan Apple menggunakan Kunci PGP Keamanan Produk Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.
Safari 11.1
Dirilis 29 Maret 2018
Safari
Tersedia untuk: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, dan macOS High Sierra 10.13.4
Dampak: Mengunjungi situs web berbahaya dapat menyebabkan pemalsuan bar alamat
Deskripsi: Masalah antarmuka pengguna yang tidak konsisten telah diatasi dengan manajemen kondisi yang ditingkatkan.
CVE-2018-4102: Kai Zhao dari tim keamanan 3H
CVE-2018-4116: @littlelailo, xisigr dari Tencent's Xuanwu Lab (tencent.com)
Unduhan Safari
Tersedia untuk: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, dan macOS High Sierra 10.13.4
Dampak: Dalam Penelusuran Pribadi, sejumlah unduhan tidak dihapus dari daftar unduhan
Deskripsi: Masalah kebocoran informasi muncul saat menangani unduhan di Penelusuran Pribadi Safari. Masalah ini telah diatasi dengan validasi tambahan.
CVE-2018-4186: peneliti anonim
Entri ditambahkan 2 Mei 2018
IsiOtomatis Masuk Safari
Tersedia untuk: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, dan macOS High Sierra 10.13.4
Dampak: Situs web berbahaya dapat menarik data yang diisi secara otomatis di Safari tanpa interaksi pengguna secara eksplisit.
Deskripsi: Pengisian otomatis Safari tidak memerlukan interaksi pengguna secara eksplisit sebelum dilakukan. Masalah ini telah diatasi dengan heuristik pengisian otomatis yang ditingkatkan.
CVE-2018-4137
Entri diperbarui 16 November 2018
WebKit
Tersedia untuk: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, dan macOS High Sierra 10.13.4
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Beberapa masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2018-4101: Yuan Deng dari Ant-financial Light-Year Security Lab
CVE-2018-4114: ditemukan oleh OSS-Fuzz
CVE-2018-4118: Jun Kokatsu (@shhnjk)
CVE-2018-4119: peneliti anonim bekerja sama dengan Trend Micro's Zero Day Initiative
CVE-2018-4120: Hanming Zhang (@4shitak4) dari Qihoo 360 Vulcan Team
CVE-2018-4121: natashenka dari Google Project Zero
CVE-2018-4122: WanderingGlitch dari Trend Micro’s Zero Day Initiative
CVE-2018-4125: WanderingGlitch dari Trend Micro's Zero Day Initiative
CVE-2018-4127: peneliti anonim bekerja sama dengan Trend Micro's Zero Day Initiative
CVE-2018-4128: Zach Markley
CVE-2018-4129: likemeng dari Baidu Security Lab bekerja sama dengan Trend Micro's Zero Day Initiative
CVE-2018-4130: Omair bekerja sama dengan Trend Micro's Zero Day Initiative
CVE-2018-4161: WanderingGlitch dari Trend Micro's Zero Day Initiative
CVE-2018-4162: WanderingGlitch dari Trend Micro's Zero Day Initiative
CVE-2018-4163: WanderingGlitch dari Trend Micro's Zero Day Initiative
CVE-2018-4165: Hanming Zhang (@4shitak4) dari Qihoo 360 Vulcan Team
WebKit
Tersedia untuk: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, dan macOS High Sierra 10.13.4
Dampak: Mengunjungi situs web perusak berbahaya dapat mengakibatkan serangan skripting lintas situs
Deskripsi: Masalah skrip lintas situs muncul di Safari. Masalah ini telah diatasi melalui validasi URL yang ditingkatkan.
CVE-2018-4133: Anton Lopanitsyn dari Wallarm, Linus Särud dari Detectify (detectify.com), Yuji Tounai dari NTT Communications Corporation
WebKit
Tersedia untuk: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, dan macOS High Sierra 10.13.4
Dampak: Interaksi tidak terduga dengan mengindeks jenis mengakibatkan kegagalan ASSERT
Deskripsi: Rangkaian yang mengindeks masalah terdapat dalam penanganan fungsi inti javascript. Masalah ini telah diatasi melalui pemeriksaan yang ditingkatkan.
CVE-2018-4113: ditemukan oleh OSS-Fuzz
WebKit
Tersedia untuk: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, dan macOS High Sierra 10.13.4
Dampak: Memproses konten web berbahaya dapat mengakibatkan penolakan layanan
Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.
CVE-2018-4146: ditemukan oleh OSS-Fuzz
WebKit
Tersedia untuk: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, dan macOS High Sierra 10.13.4
Dampak: Situs web berbahaya dapat menarik data lintas sumber
Deskripsi: Masalah lintas sumber muncul dengan API pengambilan. Masalah ini telah diatasi melalui validasi input yang ditingkatkan.
CVE-2018-4117: peneliti anonim, peneliti anonim
WebKit
Tersedia untuk: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, dan macOS High Sierra 10.13.4
Dampak: Interaksi tidak terduga mengakibatkan kegagalan ASSERT
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2018-4207: ditemukan oleh OSS-Fuzz
Entri ditambahkan 2 Mei 2018
WebKit
Tersedia untuk: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, dan macOS High Sierra 10.13.4
Dampak: Interaksi tidak terduga mengakibatkan kegagalan ASSERT
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2018-4208: ditemukan oleh OSS-Fuzz
Entri ditambahkan 2 Mei 2018
WebKit
Tersedia untuk: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, dan macOS High Sierra 10.13.4
Dampak: Interaksi tidak terduga mengakibatkan kegagalan ASSERT
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2018-4209: ditemukan oleh OSS-Fuzz
Entri ditambahkan 2 Mei 2018
WebKit
Tersedia untuk: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, dan macOS High Sierra 10.13.4
Dampak: Interaksi tidak diduga dengan jenis indeks mengakibatkan kegagalan
Deskripsi: Rangkaian yang mengindeks masalah terdapat dalam penanganan fungsi inti javascript. Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2018-4210: ditemukan oleh OSS-Fuzz
Entri ditambahkan 2 Mei 2018
WebKit
Tersedia untuk: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, dan macOS High Sierra 10.13.4
Dampak: Interaksi tidak terduga mengakibatkan kegagalan ASSERT
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2018-4212: ditemukan oleh OSS-Fuzz
Entri ditambahkan 2 Mei 2018
WebKit
Tersedia untuk: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, dan macOS High Sierra 10.13.4
Dampak: Interaksi tidak terduga mengakibatkan kegagalan ASSERT
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2018-4213: ditemukan oleh OSS-Fuzz
Entri ditambahkan 2 Mei 2018
WebKit
Tersedia untuk: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, dan macOS High Sierra 10.13.4
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode
Deskripsi: Beberapa masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2018-4145: ditemukan oleh OSS-Fuzz
Entri ditambahkan 18 Oktober 2018
Penghargaan tambahan
WebKit
Kami ingin mengucapkan terima kasih kepada Johnny Nipper dari Tinder Security Team atas bantuan mereka.