Zawartość związana z zabezpieczeniami w przeglądarce Safari 13.0.1

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w przeglądarce Safari 13.0.1.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

Safari 13.0.1

Safari

Dostępne dla: systemów macOS Mojave 10.14.6 i macOS High Sierra 10.13.6

Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do spreparowania interfejsu użytkownika.

Opis: usunięto błąd dotyczący niespójnego interfejsu użytkownika przez poprawienie mechanizmu zarządzania stanem.

CVE-2019-8654: Juno Im (@junorouse) z Theori

Wątki robocze

Dostępne dla: systemów macOS Mojave 10.14.6 i macOS High Sierra 10.13.6

Zagrożenie: z wątków roboczych może wyciekać historia przeglądania prywatnego.

Opis: ten problem rozwiązano przez poprawienie obsługi czasu życia wątku roboczego.

CVE-2019-8725: Michael Thwaite z Connect Medi

WebKit

Dostępne dla: systemów macOS Mojave 10.14.6 i macOS High Sierra 10.13.6

Zagrożenie: złośliwie spreparowana zawartość internetowa może naruszać zasady piaskownicy iframe.

Opis: ten błąd naprawiono przez poprawienie wymuszania piaskownicy iframe.

CVE-2019-8771: Eliya Stein z Confiant

WebKit

Dostępne dla: systemów macOS Mojave 10.14.6 i macOS High Sierra 10.13.6

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-8710: wykryte przez OSS-Fuzz

CVE-2019-8743: zhunki z Codesafe Team, Legendsec w Qi'anxin Group

CVE-2019-8751: Dongzhuo Zhao we współpracy z ADLab z firmy Venustech

CVE-2019-8752: Dongzhuo Zhao we współpracy z ADLab z firmy Venustech

CVE-2019-8763: Sergei Glazunov z Google Project Zero

CVE-2019-8765: Samuel Groß z Google Project Zero

CVE-2019-8766: wykryte przez OSS-Fuzz

CVE-2019-8773: wykryte przez OSS-Fuzz

WebKit

Dostępne dla: systemów macOS Mojave 10.14.6 i macOS High Sierra 10.13.6

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować atak UXSS (universal cross site scripting).

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2019-8764: Sergei Glazunov z Google Project Zero

WebKit

Dostępne dla: systemów macOS Mojave 10.14.6 i macOS High Sierra 10.13.6

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować atak UXSS (universal cross site scripting).

Opis: usunięto błąd sprawdzania poprawności przez poprawienie logiki sprawdzania.

CVE-2019-8762: Sergei Glazunov z Google Project Zero

WebKit

Dostępne dla: systemów macOS Mojave 10.14.6 i macOS High Sierra 10.13.6

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie sprawdzania poprawności.

CVE-2020-9932: Dongzhuo Zhao we współpracy z ADLab of Venustech

Dodatkowe podziękowania

Safari

Dziękujemy za udzieloną pomoc: Yiğit Can YILMAZ (@yilmazcanyigit), Zhiyang Zeng (@Wester) z OPPO ZIWU Cyber Security Lab.