Zawartość związana z zabezpieczeniami w przeglądarce Safari 12.0.2

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w przeglądarce Safari 12.0.2.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Safari 12.0.2

Safari

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6 i macOS Mojave 10.14.1

Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do sfałszowania paska adresu.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2018-4440: Wenxu Wu z Tencent Security Xuanwu Lab (xlab.tencent.com)

Safari

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6 i macOS Mojave 10.14.1

Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do spreparowania interfejsu użytkownika.

Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.

CVE-2018-4439: xisigr z Xuanwu Lab firmy Tencent (tencent.com)

Safari

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6 i macOS Mojave 10.14.1

Zagrożenie: użytkownik może nie być w stanie usunąć całkowicie historii przeglądania.

Opis: polecenie „Wymaż historię i dane witryn” nie powodowało wyczyszczenia historii. Ten błąd naprawiono przez poprawienie mechanizmu usuwania danych.

CVE-2018-4445: William Breuer

WebKit

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6 i macOS Mojave 10.14.1

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4437: HyungSeok Han, DongHyeon Oh i Sang Kil Cha z KAIST Softsec Lab, Korea

CVE-2018-4464: HyungSeok Han, DongHyeon Oh i Sang Kil Cha z KAIST Softsec Lab, Korea

WebKit

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6 i macOS Mojave 10.14.1

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4441: lokihardt z Google Project Zero

CVE-2018-4442: lokihardt z Google Project Zero

CVE-2018-4443: lokihardt z Google Project Zero

WebKit

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6 i macOS Mojave 10.14.1

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może ujawnić poufne informacje użytkownika.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2018-4444: James Lee (@Windowsrcer) z S2SWWW.com

WebKit

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6 i macOS Mojave 10.14.1

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: występował błąd logiczny powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem.

CVE-2018-4438: lokihardt z Google Project Zero, Qixun Zhao z zespołu Vulcan Team firmy Qihoo 360