Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Safari 11.1.1
Wydano 1 czerwca 2018 r.
Safari
Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13.4
Zagrożenie: złośliwa witryna internetowa może spowodować atak typu „odmowa usługi”.
Opis: rozwiązano problem z podatnością na atak typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności.
CVE-2018-4247: François Renaud, Jesse Viviano z Verizon Enterprise Solutions
Safari
Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13.4
Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do sfałszowania paska adresu.
Opis: usunięto błąd dotyczący niespójnego interfejsu użytkownika przez poprawienie mechanizmu zarządzania stanem.
CVE-2018-4205: xisigr z Xuanwu Lab firmy Tencent (tencent.com)
WebKit
Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13.4
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do zastąpienia plików cookie.
Opis: w procedurach obsługi plików cookie przeglądarki internetowej występował problem z uprawnieniami. Ten błąd naprawiono przez poprawienie ograniczeń.
CVE-2018-4232: anonimowy badacz, Aymeric Chaib
WebKit
Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13.4
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.
CVE-2018-4246: wykryte przez OSS-Fuzz
WebKit
Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13.4
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto sytuację wyścigu przez poprawienie mechanizmu blokowania.
CVE-2018-4192: Markus Gaasedelen, Nick Burnett i Patrick Biernat z firmy Ret2 Systems, Inc. w ramach programu Zero Day Initiative firmy Trend Micro
WebKit
Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13.4
Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do sfałszowania paska adresu.
Opis: usunięto błąd dotyczący niespójnego interfejsu użytkownika przez poprawienie mechanizmu zarządzania stanem.
CVE-2018-4188: YoKo Kho (@YoKoAcc) z Mitra Integrasi Informatika, PT
WebKit
Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13.4
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2018-4214: wykryte przez OSS-Fuzz
WebKit
Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13.4
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2018-4201: anonimowy badacz
CVE-2018-4218: Natalie Silvanovich z Google Project Zero
CVE-2018-4233: Samuel Gross (@5aelo) w ramach programu Zero Day Initiative firmy Trend Micro
WebKit
Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13.4
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.
CVE-2018-4199: Alex Plaskett, Georgi Geshev i Fabi Beterke z firmy MWR Labs w ramach programu Zero Day Initiative firmy Trend Micro
Wpis uaktualniono 14 czerwca 2018 r.
WebKit
Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13.4
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować ujawnienie poufnych danych.
Opis: podczas pobierania obrazów maski CSS były nieoczekiwanie wysyłane poświadczenia. Ten błąd naprawiono przez zastosowanie metody pobierania obsługującej protokół CORS.
CVE-2018-4190: Jun Kokatsu (@shhnjk)
WebKit
Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13.4
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2018-4222: Natalie Silvanovich z Google Project Zero
WebKit
Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13.4
Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do sfałszowania paska adresu.
Opis: w procedurze obsługi adresów URL występował błąd umożliwiający fałszowanie. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2018-4277: xisigr z Xuanwu Lab firmy Tencent (tencent.com)
Wpis dodano 10 lipca 2018 r.