Zawartość związana z zabezpieczeniami w przeglądarce Safari 12.0.1

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w przeglądarce Safari 12.0.1.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Safari 12.0.1

Czytnik Reader w przeglądarce Safari

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6 i macOS Mojave 10.14

Zagrożenie: włączenie funkcji czytnika Reader w przeglądarce Safari na złośliwie napisanej stronie internetowej może doprowadzić do powszechnych ataków XSS (cross-site scripting).

Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.

CVE-2018-4374: Ryan Pickren (ryanpickren.com)

Czytnik Reader w przeglądarce Safari

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6 i macOS Mojave 10.14

Zagrożenie: włączenie funkcji czytnika Reader w przeglądarce Safari na złośliwie napisanej stronie internetowej może doprowadzić do powszechnych ataków XSS (cross-site scripting).

Opis: w przeglądarce Safari występował błąd umożliwiający przeprowadzenie ataku XSS (cross-site scripting). Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności adresów URL.

CVE-2018-4377: Ryan Pickren (ryanpickren.com)

WebKit

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6 i macOS Mojave 10.14

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4372: HyungSeok Han, DongHyeon Oh i Sang Kil Cha z KAIST Softsec Lab, Korea

CVE-2018-4373: ngg, alippai, DirtYiCE, KT z Tresorit w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2018-4375: Yu Haiwan i Wu Hongjun z Nanyang Technological University w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2018-4376: 010 w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2018-4382: lokihardt z Google Project Zero

CVE-2018-4386: lokihardt z Google Project Zero

CVE-2018-4392: zhunki z 360 ESG Codesafe Team

CVE-2018-4416: lokihardt z Google Project Zero

WebKit

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6 i macOS Mojave 10.14

Zagrożenie: złośliwa witryna internetowa może spowodować atak typu „odmowa usługi”.

Opis: naprawiono błąd powodujący wyczerpanie pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2018-4409: Sabri Haddouche (@pwnsdx) z Wire Swiss GmbH

WebKit

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6 i macOS Mojave 10.14

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie sprawdzania poprawności.

CVE-2018-4378: HyungSeok Han, DongHyeon Oh, and Sang Kil Cha z KAIST Softsec Lab, Korea, zhunki z 360 ESG Codesafe Team

Dodatkowe podziękowania

Safari

Dziękujemy za udzieloną pomoc: Yiğit Can YILMAZ (@yilmazcanyigit).

Czytnik Reader w przeglądarce Safari

Dziękujemy za udzieloną pomoc: Ryan Pickren (ryanpickren.com).