Informacje o zawartości związanej z zabezpieczeniami w przeglądarce Safari 13.0.5
Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w przeglądarce Safari 13.0.5.
Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
Safari 13.0.5
Safari
Dostępne dla: systemów macOS Mojave i macOS High Sierra oraz zawarte w systemie macOS Catalina
Zagrożenie: przetworzenie złośliwie spreparowanego adresu URL może doprowadzić do wykonania dowolnego kodu javascript.
Opis: rozwiązano problem z obsługą własnego schematu adresu URL przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2020-9860: CodeColorist z Ant-Financial LightYear Labs
Safari
Dostępne dla: systemów macOS Mojave i macOS High Sierra oraz zawarte w systemie macOS Catalina
Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do sfałszowania paska adresu.
Opis: usunięto błąd dotyczący niespójnego interfejsu użytkownika przez poprawienie mechanizmu zarządzania stanem.
CVE-2020-3833: Nikhil Mittal (@c0d3G33k) z Payatu Labs (payatu.com)
Safari
Dostępne dla: systemów macOS Mojave i macOS High Sierra oraz zawarte w systemie macOS Catalina
Zagrożenie: schemat adresu URL może być niepoprawnie ignorowany podczas określania pozwolenia na multimedia dla witryny.
Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.
CVE-2020-3852: Ryan Pickren (ryanpickren.com)
Automatyczne wstawianie podczas logowania w przeglądarce Safari
Dostępne dla: systemów macOS Mojave i macOS High Sierra oraz zawarte w systemie macOS Catalina
Zagrożenie: lokalny użytkownik może nieświadomie wysyłać hasło w postaci niezaszyfrowanej przez sieć.
Opis: błąd naprawiono przez poprawienie obsługi interfejsu użytkownika.
CVE-2020-3841: Sebastian Bicchi (@secresDoge) z Sec-Research
WebKit
Dostępne dla: systemów macOS Mojave i macOS High Sierra oraz zawarte w systemie macOS Catalina
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować atak UXSS (universal cross site scripting).
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2020-3867: anonimowy badacz
WebKit
Dostępne dla: systemów macOS Mojave i macOS High Sierra oraz zawarte w systemie macOS Catalina
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2020-3825: Przemysław Sporysz z Euvic
CVE-2020-3868: Marcin Towalski z Cisco Talos
WebKit
Dostępne dla: systemów macOS Mojave i macOS High Sierra oraz zawarte w systemie macOS Catalina
Zagrożenie: złośliwa witryna internetowa może spowodować atak typu „odmowa usługi”.
Opis: naprawiono błąd podatności na atak typu „odmowa usługi” przez poprawienie procedury obsługi pamięci.
CVE-2020-3862: Srikanth Gatta z Google Chrome
WebKit — wczytywanie stron
Dostępne dla: systemów macOS Mojave i macOS High Sierra oraz zawarte w systemie macOS Catalina
Zagrożenie: kontekst obiektu DOM najwyższego poziomu mógł zostać niepoprawnie uznany za bezpieczny.
Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.
CVE-2020-3865: Ryan Pickren (ryanpickren.com)
WebKit — wczytywanie stron
Dostępne dla: systemów macOS Mojave i macOS High Sierra oraz zawarte w systemie macOS Catalina
Zagrożenie: kontekst obiektu DOM mógł nie mieć unikatowego źródła zabezpieczeń.
Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.
CVE-2020-3864: Ryan Pickren (ryanpickren.com)
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.