Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
Safari 13.1
Utgitt 24. mars 2020
Safari-nedlastinger
Tilgjengelig for: macOS Mojave og macOS High Sierra, og inkludert i macOS Catalina
Virkning: En skadelig iframe kan bruke nedlastningsinnstillingene til et annet nettsted
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2020-9784: Ruilin Yang fra Tencent Security Xuanwu Lab og Ryan Pickren (ryanpickren.com)
WebKit
Tilgjengelig for: macOS Mojave og macOS High Sierra, og inkludert i macOS Catalina
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret minnehåndtering.
CVE-2020-3901: Benjamin Randazzo (@____benjamin)
WebKit
Tilgjengelig for: macOS Mojave og macOS High Sierra, og inkludert i macOS Catalina
Virkning: Opphavet til en nedlasting kan være feilassosiert
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2020-3887: Ryan Pickren (ryanpickren.com)
WebKit
Tilgjengelig for: macOS Mojave og macOS High Sierra, og inkludert i macOS Catalina
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2020-3895: grigoritchy
CVE-2020-3900: Dongzhuo Zhao i samarbeid med ADLab hos Venustech
WebKit
Tilgjengelig for: macOS Mojave og macOS High Sierra, og inkludert i macOS Catalina
Virkning: Et program kan lese begrenset minne
Beskrivelse: En kappløpssituasjon ble løst gjennom tilleggsvalidering.
CVE-2020-3894: Sergei Glazunov fra Google Project Zero
WebKit
Tilgjengelig for: macOS Mojave og macOS High Sierra, og inkludert i macOS Catalina
Virkning: En ekstern angriper kan være i stand kjøre vilkårlig kode
Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret minnehåndtering.
CVE-2020-3897: Brendan Draper (@6r3nd4n) i samarbeid med Trend Micro Zero Day Initiative
WebKit
Tilgjengelig for: macOS Mojave og macOS High Sierra, og inkludert i macOS Catalina
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av kode
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2020-9783: Apple
WebKit
Tilgjengelig for: macOS Mojave og macOS High Sierra, og inkludert i macOS Catalina
Virkning: En ekstern angriper kan være i stand kjøre vilkårlig kode
Beskrivelse: Et problem med minnebruk ble løst gjennom forbedret minnehåndtering.
CVE-2020-3899: funnet av OSS-Fuzz
WebKit
Tilgjengelig for: macOS Mojave og macOS High Sierra, og inkludert i macOS Catalina
Virkning: Behandling av skadelig nettinnhold kan føre til et angrep med skripting mellom nettsteder
Beskrivelse: Et problem med validering av inndata ble løst gjennom forbedret validering av inndata.
CVE-2020-3902: Yiğit Can YILMAZ (@yilmazcanyigit)
Laster inn WebKit-sider
Tilgjengelig for: macOS Mojave og macOS High Sierra, og inkludert i macOS Catalina
Virkning: URL-en til en fil kan bli feilbehandlet
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2020-3885: Ryan Pickren (ryanpickren.com)
Ytterligere anerkjennelse
Safari
Vi vil gjerne takke Dlive fra Tencent Security Xuanwu Lab, Jacek Kolodziej fra Procter & Gamble og Justin Taft fra One Up Security, LLC for hjelpen.
Safari-tillegg
Vi vil gjerne takke Jeff Johnson fra underpassapp.com for hjelpen.
Leserfunksjonen i Safari
Vi vil gjerne takke Nikhil Mittal (@c0d3G33k) fra Payatu Labs (payatu.com) for hjelpen.
WebKit
Vi vil gjerne takke Emilio Cobos Álvarez fra Mozilla og Samuel Groß fra Google Project Zero for hjelpen.
Oppføring oppdatert 4. april 2020