Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
Safari 13.0.5
Wydano 28 stycznia, 2020
Safari
Dostępne dla: systemów macOS Mojave i macOS High Sierra oraz zawarte w systemie macOS Catalina
Zagrożenie: przetworzenie złośliwie spreparowanego adresu URL może doprowadzić do wykonania dowolnego kodu javascript.
Opis: rozwiązano problem z obsługą własnego schematu adresu URL przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2020-9860: CodeColorist z Ant-Financial LightYear Labs
Wpis dodano 25 czerwca 2020 r.
Safari
Dostępne dla: systemów macOS Mojave i macOS High Sierra oraz zawarte w systemie macOS Catalina
Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do sfałszowania paska adresu.
Opis: usunięto błąd dotyczący niespójnego interfejsu użytkownika przez poprawienie mechanizmu zarządzania stanem.
CVE-2020-3833: Nikhil Mittal (@c0d3G33k) z Payatu Labs (payatu.com)
Safari
Dostępne dla: systemów macOS Mojave i macOS High Sierra oraz zawarte w systemie macOS Catalina
Zagrożenie: schemat adresu URL może być niepoprawnie ignorowany podczas określania pozwolenia na multimedia dla witryny.
Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.
CVE-2020-3852: Ryan Pickren (ryanpickren.com)
Wpis dodano 6 lutego 2020 r.
Automatyczne wstawianie podczas logowania w przeglądarce Safari
Dostępne dla: systemów macOS Mojave i macOS High Sierra oraz zawarte w systemie macOS Catalina
Zagrożenie: lokalny użytkownik może nieświadomie wysyłać hasło w postaci niezaszyfrowanej przez sieć.
Opis: błąd naprawiono przez poprawienie obsługi interfejsu użytkownika.
CVE-2020-3841: Sebastian Bicchi (@secresDoge) z Sec-Research
WebKit
Dostępne dla: systemów macOS Mojave i macOS High Sierra oraz zawarte w systemie macOS Catalina
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować atak UXSS (universal cross site scripting).
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2020-3867: anonimowy badacz
Wpis dodano 29 stycznia 2020 r.
WebKit
Dostępne dla: systemów macOS Mojave i macOS High Sierra oraz zawarte w systemie macOS Catalina
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2020-3825: Przemysław Sporysz z Euvic
CVE-2020-3868: Marcin Towalski z Cisco Talos
Wpis dodano 29 stycznia 2020 r.
WebKit
Dostępne dla: systemów macOS Mojave i macOS High Sierra oraz zawarte w systemie macOS Catalina
Zagrożenie: złośliwa witryna internetowa może spowodować atak typu „odmowa usługi”.
Opis: naprawiono błąd podatności na atak typu „odmowa usługi” przez poprawienie procedury obsługi pamięci.
CVE-2020-3862: Srikanth Gatta z Google Chrome
Wpis dodano 29 stycznia 2020 r.
WebKit — wczytywanie stron
Dostępne dla: systemów macOS Mojave i macOS High Sierra oraz zawarte w systemie macOS Catalina
Zagrożenie: kontekst obiektu DOM najwyższego poziomu mógł zostać niepoprawnie uznany za bezpieczny.
Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.
CVE-2020-3865: Ryan Pickren (ryanpickren.com)
Wpis dodano 29 stycznia 2020 r., uaktualniono 6 lutego 2020 r.
WebKit — wczytywanie stron
Dostępne dla: systemów macOS Mojave i macOS High Sierra oraz zawarte w systemie macOS Catalina
Zagrożenie: kontekst obiektu DOM mógł nie mieć unikatowego źródła zabezpieczeń.
Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.
CVE-2020-3864: Ryan Pickren (ryanpickren.com)
Wpis dodano 6 lutego 2020 r.