Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
Safari 13.1.1
Wydano 26 maja 2020 r.
Safari
Dostępne dla: systemów macOS Mojave i macOS High Sierra oraz zawarte w systemie macOS Catalina
Zagrożenie: złośliwy proces może spowodować, że przeglądarka Safari uruchomi aplikację
Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.
CVE-2020-9801: @jinmo123, @setuid0x0_ i @insu_yun_en z @SSLab_Gatech w ramach programu Zero Day Initiative firmy Trend Micro
WebKit
Dostępne dla: systemów macOS Mojave i macOS High Sierra oraz zawarte w systemie macOS Catalina
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.
CVE-2020-9802: Samuel Groß (Google Project Zero)
WebKit
Dostępne dla: systemów macOS Mojave i macOS High Sierra oraz zawarte w systemie macOS Catalina
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować atak UXSS (universal cross site scripting).
Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.
CVE-2020-9805: anonimowy badacz
WebKit
Dostępne dla: systemów macOS Mojave i macOS High Sierra oraz zawarte w systemie macOS Catalina
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.
CVE-2020-9800: Brendan Draper (@6r3nd4n) w ramach programu Zero Day Initiative firmy Trend Micro
WebKit
Dostępne dla: systemów macOS Mojave i macOS High Sierra oraz zawarte w systemie macOS Catalina
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
CVE-2020-9806: Wen Xu z grupy SSLab uczelni Georgia Tech
CVE-2020-9807: Wen Xu z grupy SSLab uczelni Georgia Tech
WebKit
Dostępne dla: systemów macOS Mojave i macOS High Sierra oraz zawarte w systemie macOS Catalina
Zagrożenie: osoba atakująca zdalnie może spowodować wykonanie dowolnego kodu.
Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.
CVE-2020-9850: @jinmo123, @setuid0x0_ i @insu_yun_en (@SSLab_Gatech) w ramach programu Zero Day Initiative firmy Trend Micro
WebKit
Dostępne dla: systemów macOS Mojave i macOS High Sierra oraz zawarte w systemie macOS Catalina
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować atak XSS (cross-site-scripting).
Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2020-9843: Ryan Pickren (ryanpickren.com)
WebKit
Dostępne dla: systemów macOS Mojave i macOS High Sierra oraz zawarte w systemie macOS Catalina
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie sprawdzania poprawności.
CVE-2020-9803: Wen Xu z grupy SSLab uczelni Georgia Tech
WebRTC
Dostępne dla: systemów macOS Mojave i macOS High Sierra oraz zawarte w systemie macOS Catalina
Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może doprowadzić do ujawnienia pamięci procesowej.
Opis: problem z dostępem rozwiązano przez poprawienie procedur zarządzania pamięcią.
CVE-2019-20503: natashenka z Google Project Zero
Dodatkowe podziękowania
WebKit
Dziękujemy za udzieloną pomoc: Aidan Dunlap (UT Austin).