Sobre o conteúdo de segurança do Safari 12.0.1
Este documento descreve o conteúdo de segurança do Safari 12.0.1.
Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.
Para obter mais informações sobre segurança, consulte a página sobre Segurança do Produto Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
Safari 12.0.1
Leitor do Safari
Disponível para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 e macOS Mojave 10.14
Impacto: ativar o recurso Leitor do Safari em um site criado com códigos maliciosos pode causar a execução universal de scripts entre sites
Descrição: um problema de lógica foi resolvido por meio de melhorias na validação.
CVE-2018-4374: Ryan Pickren (ryanpickren.com)
Leitor do Safari
Disponível para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 e macOS Mojave 10.14
Impacto: ativar o recurso Leitor do Safari em um site criado com códigos maliciosos pode causar a execução universal de scripts entre sites
Descrição: havia um problema de transmissão de script entre sites no Safari. Esse problema foi resolvido por meio de melhorias na validação de URL.
CVE-2018-4377: Ryan Pickren (ryanpickren.com)
WebKit
Disponível para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 e macOS Mojave 10.14
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2018-4372: HyungSeok Han, DongHyeon Oh e Sang Kil Cha do KAIST Softsec Lab, Coreia
CVE-2018-4373: ngg, alippai, DirtYiCE, KT da Tresorit em parceria com a Zero Day Initiative da Trend Micro
CVE-2018-4375: Yu Haiwan e Wu Hongjun da Nanyang Technological University em parceria com a Zero Day Initiative da Trend Micro
CVE-2018-4376: 010 em parceria com a Zero Day Initiative da Trend Micro
CVE-2018-4382: lokihardt do Google Project Zero
CVE-2018-4386: lokihardt do Google Project Zero
CVE-2018-4392: zhunki da 360 ESG Codesafe Team
CVE-2018-4416: lokihardt do Google Project Zero
WebKit
Disponível para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 e macOS Mojave 10.14
Impacto: um site malicioso pode causar uma negação de serviço
Descrição: um problema de esgotamento de recursos foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-4409: Sabri Haddouche (@pwnsdx) da Wire Swiss GmbH
WebKit
Disponível para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 e macOS Mojave 10.14
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução de códigos
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação.
CVE-2018-4378: HyungSeok Han, DongHyeon Oh e Sang Kil Cha do KAIST Softsec Lab, Coreia, zhunki do 360 ESG Codesafe Team
Outros reconhecimentos
Safari
Gostaríamos de agradecer a Yiğit Can YILMAZ (@yilmazcanyigit) pela ajuda.
Leitor do Safari
Gostaríamos de agradecer a Ryan Pickren (ryanpickren.com) pela ajuda.
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.