Informacje o zawartości związanej z zabezpieczeniami w przeglądarce Safari 14.1.1

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w przeglądarce Safari 14.1.1.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

Safari 14.1.1

WebKit

Dostępne dla: systemów macOS Catalina i macOS Mojave

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2021-30749: anonimowy badacz i mipu94 z laboratorium SEFCOM, ASU. w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2021-30734: Jack Dates z RET2 Systems, Inc. (@ret2systems) w ramach programu Zero Day Initiative firmy Trend Micro

WebKit

Dostępne dla: systemów macOS Catalina i macOS Mojave

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować atak UXSS (universal cross site scripting).

Opis: naprawiono błąd związany z obsługą różnych źródeł w elementach iframe przez poprawienie mechanizmu śledzenia źródeł informacji dotyczących zabezpieczeń.

CVE-2021-30744: Dan Hite z firmy jsontop

WebKit

Dostępne dla: systemów macOS Catalina i macOS Mojave

Zagrożenie: złośliwa witryna może uzyskać dostęp do objętych ograniczeniami portów na dowolnych serwerach

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2021-30720: David Schütz (@xdavidhu)

WebKit

Dostępne dla: systemów macOS Catalina i macOS Mojave

Zagrożenie: złośliwa aplikacja może być w stanie ujawnić poufne informacje użytkownika.

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2021-30682: Prakash (@1lastBr3ath)

WebKit

Dostępne dla: systemów macOS Catalina i macOS Mojave

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2021-21779: Marcin Towalski z Cisco Talos

WebKit

Dostępne dla: systemów macOS Catalina i macOS Mojave

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować atak UXSS (universal cross site scripting).

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2021-30689: anonimowy badacz

WebKit

Dostępne dla: systemów macOS Catalina i macOS Mojave

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd przekroczenia zakresu liczb całkowitych przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2021-30663: anonimowy badacz

WebRTC

Dostępne dla: systemów macOS Catalina i macOS Mojave

Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.

Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2021-23841: Tavis Ormandy z Google

CVE-2021-30698: Tavis Ormandy z Google

Dodatkowe podziękowania

WebKit

Dziękujemy za udzieloną pomoc: Chris Salls (@salls) z Makai Security.