Zawartość związana z zabezpieczeniami w przeglądarce Safari 12.1

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w przeglądarce Safari 12.1.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

Safari 12.1

Czytnik Reader w przeglądarce Safari

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6 i macOS Mojave 10.14.4

Zagrożenie: włączenie funkcji czytnika Reader w przeglądarce Safari na złośliwie napisanej stronie internetowej może doprowadzić do powszechnych ataków XSS (cross-site scripting).

Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.

CVE-2019-6204: Ryan Pickren (ryanpickren.com)

CVE-2019-8505: Ryan Pickren (ryanpickren.com)

WebKit

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6 i macOS Mojave 10.14.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.

CVE-2019-8506: Samuel Groß z Google Project Zero

WebKit

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6 i macOS Mojave 10.14.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2019-8535: Zhiyang Zeng (@Wester) z zespołu Tencent Blade Team

WebKit

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6 i macOS Mojave 10.14.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-6201: dwfault w ramach programu ADLab firmy Venustech

CVE-2019-8518: Samuel Groß z Google Project Zero

CVE-2019-8523: Apple

CVE-2019-8524: G. Geshev w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2019-8558: Samuel Groß z Google Project Zero

CVE-2019-8559: Apple

CVE-2019-8563: Apple

CVE-2019-8638: wykryte przez OSS-Fuzz

CVE-2019-8639: wykryte przez OSS-Fuzz

WebKit

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6 i macOS Mojave 10.14.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-8536: Apple

CVE-2019-8544: anonimowy badacz

WebKit

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6 i macOS Mojave 10.14.4

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może ujawnić poufne informacje użytkownika.

Opis: w interfejsie API pobierania (fetch) występował błąd obsługi różnych źródeł. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2019-8515: James Lee (@Windowsrcer)

WebKit

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6 i macOS Mojave 10.14.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2019-7285: dwfault w ramach programu ADLab firmy Venustech

CVE-2019-8556: Apple

WebKit

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6 i macOS Mojave 10.14.4

Zagrożenie: złośliwie spreparowana witryna internetowa może być w stanie wykonywać skrypty w kontekście innej witryny.

Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.

CVE-2019-8503: Linus Särud z Detectify

WebKit

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6 i macOS Mojave 10.14.4

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może doprowadzić do ujawnienia pamięci procesowej.

Opis: usunięto błąd sprawdzania poprawności przez poprawienie logiki sprawdzania.

CVE-2019-7292: Zhunki i Zhiyi Zhang z 360 ESG Codesafe Team

WebKit

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6 i macOS Mojave 10.14.4

Zagrożenie: proces działający w piaskownicy może być w stanie obejść ograniczenia piaskownicy.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie sprawdzania poprawności.

CVE-2019-8562: Wen Xu z SSLab z Georgia Tech oraz Hanqing Zhao z Chaitin Security Research Lab

WebKit

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6 i macOS Mojave 10.14.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować atak UXSS (universal cross site scripting).

Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.

CVE-2019-8551: Ryan Pickren (ryanpickren.com)

Dodatkowe podziękowania

Safari

Dziękujemy za udzieloną pomoc: Ryan Pickren (ryanpickren.com), Nikhil Mittal (@c0d3G33k) z Payatu Labs (payatu.com).

WebKit

Dziękujemy za udzieloną pomoc: Andrey Kovalev z Yandex Security Team.