Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
Safari 13.1.2
Publicat pe 15 iulie 2020
Safari
Disponibilitate pentru: macOS Mojave și macOS High Sierra, includere în macOS Catalina
Impact: accesarea unui site web rău intenționat poate cauza falsificarea barei de adrese
Descriere: a fost rezolvată o problemă legată de inconstanța interfeței cu utilizatorul prin gestionarea îmbunătățită a stării.
CVE-2020-9942: un cercetător anonim, Rahul d Kankrale (servicenger.com), Rayyan Bijoora (@Bijoora) de la The City School, PAF Chapter, Ruilin Yang de la Tencent Security Xuanwu Lab, YoKo Kho (@YoKoAcc) de la PT Telekomunikasi Indonesia (Persero) Tbk, Zhiyang Zeng(@Wester) de la OPPO ZIWU Security Lab
Adăugare intrare: 12 noiembrie 2020
Descărcări Safari
Disponibilitate pentru: macOS Mojave și macOS High Sierra, includere în macOS Catalina
Impact: un atacator cu rea intenție poate reuși să modifice originea unui cadru pentru o descărcare în modul Safari Reader mode
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2020-9912: Nikhil Mittal (@c0d3G33k) (Payatu Labs) (payatu.com)
Auto-completare login în Safari
Disponibilitate pentru: macOS Mojave și macOS High Sierra, includere în macOS Catalina
Impact: un atacator cu rea intenție poate determina Safari să sugereze o parolă pentru un domeniu incorect
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2020-9903: Nikhil Mittal (@c0d3G33k) (Payatu Labs) (payatu.com)
Cititor Safari
Disponibilitate pentru: macOS Mojave și macOS High Sierra, includere în macOS Catalina
Impact: o problemă în modul Safari Reader poate permite unui atacator să evite politica privind aceeași origine
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2020-9911: Nikhil Mittal (@c0d3G33k) (Payatu Labs) (payatu.com)
WebKit
Disponibilitate pentru: macOS Mojave și macOS High Sierra, includere în macOS Catalina
Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-9894: 0011 lucrând cu Trend Micro Zero Day Initiative
WebKit
Disponibilitate pentru: macOS Mojave și macOS High Sierra, includere în macOS Catalina
Impact: procesarea conținutului web creat cu rea intenție poate împiedica aplicarea politicii privind securitatea conținutului
Descriere: a existat o problemă de acces în politica CSP (Content Security Policy). Această problemă a fost rezolvată prin îmbunătățirea restricțiilor de accesare.
CVE-2020-9915: Ayoub AIT ELMOKHTAR (Noon)
Actualizare intrare: 28 iulie 2020
WebKit
Disponibilitate pentru: macOS Mojave și macOS High Sierra, includere în macOS Catalina
Impact: procesarea unui conținut web creat cu rea intenție poate cauza crearea de scripturi universale între site-uri
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2020-9925: un cercetător anonim
WebKit
Disponibilitate pentru: macOS Mojave și macOS High Sierra, includere în macOS Catalina
Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2020-9893: 0011 lucrând cu Trend Micro Zero Day Initiative
CVE-2020-9895: Wen Xu (SSLab, Georgia Tech)
WebKit
Disponibilitate pentru: macOS Mojave și macOS High Sierra, includere în macOS Catalina
Impact: un atacator cu rea intenție cu capacitate arbitrară de citire și scriere poate reuși să evite autentificarea cursorului
Descriere: mai multe probleme au fost rezolvate prin îmbunătățirea logicii.
CVE-2020-9910: Samuel Groß de la Google Project Zero
Încărcare pagină WebKit
Disponibilitate pentru: macOS Mojave și macOS High Sierra, includere în macOS Catalina
Impact: un atacator cu rea intenție poate reuși să ascundă destinația unui URL
Descriere: a fost rezolvată o problemă de codificare Unicode a URL-ului prin îmbunătățirea gestionării stării.
CVE-2020-9916: Rakesh Mane (@RakeshMane10)
WebKit Web Inspector
Disponibilitate pentru: macOS Mojave și macOS High Sierra, includere în macOS Catalina
Impact: copierea unui URL din Inspectorul web poate duce la injectarea de comenzi
Descriere: a existat o problemă de injectare de comenzi în Inspectorul web. Această problemă a fost rezolvată prin îmbunătățirea eludării.
CVE-2020-9862: Ophir Lojkine (@lovasoa)
WebRTC
Disponibilitate pentru: macOS Mojave și macOS High Sierra, includere în macOS Catalina
Impact: un atacator aflat într-o poziție privilegiată în rețea ar putea provoca coruperea segmentelor printr-un flux creat SCTP
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2020-6514: natashenka (Google Project Zero)
Adăugare intrare: 21 septembrie 2020