Zawartość związana z zabezpieczeniami w przeglądarce Safari 12.0.3

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w przeglądarce Safari 12.0.3.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

Safari 12.0.3

Czytnik Reader w przeglądarce Safari

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6 i macOS Mojave 10.14.3

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować atak XSS (cross-site-scripting).

Opis: w przeglądarce Safari występował błąd umożliwiający przeprowadzenie ataku XSS (cross-site scripting). Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności adresów URL.

CVE-2019-6228: Ryan Pickren (ryanpickren.com)

WebKit

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6 i macOS Mojave 10.14.3

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.

CVE-2019-6215: Lokihardt z Google Project Zero

WebKit

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6 i macOS Mojave 10.14.3

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-6212: Mike Zhang z zespołu The Pangu, Wen Xu z SSLab z Georgia Tech

CVE-2019-6216: Fluoroacetate w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2019-6217: Fluoroacetate w ramach programu Zero Day Initiative firmy Trend Micro, Proteas, Shrek_wzw i Zhuo Liang z zespołu Nirvan Team firmy Qihoo 360

CVE-2019-6226: Apple

WebKit

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6 i macOS Mojave 10.14.3

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-6227: Qixun Zhao z zespołu Vulcan Team firmy Qihoo 360

CVE-2019-6233: G. Geshev z MWR Labs w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2019-6234: G. Geshev z MWR Labs w ramach programu Zero Day Initiative firmy Trend Micro

WebKit

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6 i macOS Mojave 10.14.3

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować atak UXSS (universal cross site scripting).

Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.

CVE-2019-6229: Ryan Pickren (ryanpickren.com)

WebKit

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6 i macOS Mojave 10.14.3

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może ujawnić poufne informacje użytkownika.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2019-8570: James Lee (@Windowsrcer) z S2SWWW.com

Dodatkowe podziękowania

Czytnik Reader w przeglądarce Safari

Dziękujemy za udzieloną pomoc: Ryan Pickren (ryanpickren.com).