Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
Safari 12.1
Lansare: 25 martie 2019
Cititor Safari
Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 și macOS Mojave 10.14.4
Impact: activarea caracteristicii Cititor Safari într-o pagină web creată cu rea intenție poate cauza scripting trans-site universal
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea validării.
CVE-2019-6204: Ryan Pickren (ryanpickren.com)
CVE-2019-8505: Ryan Pickren (ryanpickren.com)
WebKit
Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 și macOS Mojave 10.14.4
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării memoriei.
CVE-2019-8506: Samuel Groß (Google Project Zero)
WebKit
Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 și macOS Mojave 10.14.4
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2019-8535: Zhiyang Zeng (@Wester) de la Tencent Blade Team
WebKit
Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 și macOS Mojave 10.14.4
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2019-6201: dwfault în colaborare cu ADLab de la Venustech
CVE-2019-8518: Samuel Groß (Google Project Zero)
CVE-2019-8523: Apple
CVE-2019-8524: G. Geshev în colaborare cu Zero Day Initiative (Trend Micro)
CVE-2019-8558: Samuel Groß (Google Project Zero)
CVE-2019-8559: Apple
CVE-2019-8563: Apple
CVE-2019-8638: problemă găsită de OSS-Fuzz
CVE-2019-8639: problemă găsită de OSS-Fuzz
Actualizare intrare: miercuri, 30 mai 2019
WebKit
Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 și macOS Mojave 10.14.4
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2019-8536: Apple
CVE-2019-8544: un cercetător anonim
WebKit
Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 și macOS Mojave 10.14.4
Impact: procesarea conținutului unui site web rău intenționat poate dezvălui informații sensibile ale utilizatorului
Descriere: a existat o problemă de origine încrucișată la API-ul fetch. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2019-8515: James Lee (@Windowsrcer)
WebKit
Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 și macOS Mojave 10.14.4
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2019-7285: dwfault în colaborare cu ADLab de la Venustech
CVE-2019-8556: Apple
WebKit
Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 și macOS Mojave 10.14.4
Impact: un site web rău intenționat poate executa scripturi în contextul altui site web
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea validării.
CVE-2019-8503: Linus Särud de la Detectify
WebKit
Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 și macOS Mojave 10.14.4
Impact: procesarea conținutului unui site web creat cu rea intenție poate cauza divulgarea memoriei procesului
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea logicii.
CVE-2019-7292: Zhunki și Zhiyi Zhang (360 ESG Codesafe Team)
WebKit
Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 și macOS Mojave 10.14.4
Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării.
CVE-2019-8562: Wen Xu (SSLab de la Georgia Tech) și Hanqing Zhao (Chaitin Security Research Lab)
WebKit
Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 și macOS Mojave 10.14.4
Impact: procesarea unui conținut web creat cu rea intenție poate cauza crearea de scripturi universale între site-uri
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea validării.
CVE-2019-8551: Ryan Pickren (ryanpickren.com)
Alte mențiuni
Safari
Dorim să-i mulțumim lui Ryan Pickren (ryanpickren.com), Nikhil Mittal (@c0d3G33k) de la Payatu Labs (payatu.com) pentru asistența acordată.
Actualizare intrare: miercuri, 30 mai 2019
WebKit
Dorim să-i mulțumim lui Andrei Kovalev (Echipa de securitate a Yandex) pentru asistența acordată.