Проблемы системы безопасности, устраняемые обновлением Safari 13.1.2
В этой статье описываются проблемы системы безопасности, устраняемые обновлением Safari 13.1.2.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительные сведения о безопасности см. в статье Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.
Safari 13.1.2
Safari
Целевые продукты: macOS Mojave и macOS High Sierra, а также macOS Catalina
Воздействие. Посещение вредоносного веб-сайта может приводить к подмене адресной строки.
Описание. Проблема с единообразием пользовательского интерфейса устранена путем улучшенного управления состояниями.
CVE-2020-9942: анонимный исследователь, Рахул Д. Канкрал (Rahul d Kankrale, servicenger.com), Райян Биджоора (Rayyan Bijoora, @Bijoora) из The City School (PAF Chapter), Руилин Ян (Ruilin Yang) из Tencent Security Xuanwu Lab, ЙоКо Кхо (YoKo Kho, @YoKoAcc) из PT Telekomunikasi Indonesia (Persero) Tbk, Чжиян Цзэн (Zhiyang Zeng, @Wester) из подразделения Security Lab компании OPPO ZIWU
Загрузки Safari
Целевые продукты: macOS Mojave и macOS High Sierra, а также macOS Catalina
Воздействие. Злоумышленник может изменить источник фрейма для загрузки в режиме «Для чтения» в Safari.
Описание. Проблема с логикой устранена путем улучшения ограничений.
CVE-2020-9912: Nikhil Mittal (@c0d3G33k) из Payatu Labs (payatu.com)
Автозаполнение при входе в Safari
Целевые продукты: macOS Mojave и macOS High Sierra, а также macOS Catalina
Воздействие. Действия злоумышленника могут привести к тому, что браузер Safari предложит пароль для неправильного домена.
Описание. Проблема с логикой устранена путем улучшения ограничений.
CVE-2020-9903: Nikhil Mittal (@c0d3G33k) из Payatu Labs (payatu.com)
Safari Reader
Целевые продукты: macOS Mojave и macOS High Sierra, а также macOS Catalina
Воздействие. Проблема в режиме «Для чтения» браузера Safari может позволить злоумышленнику удаленно обойти политику одного источника.
Описание. Проблема с логикой устранена путем улучшения ограничений.
CVE-2020-9911: Nikhil Mittal (@c0d3G33k) из Payatu Labs (payatu.com)
WebKit
Целевые продукты: macOS Mojave и macOS High Sierra, а также macOS Catalina
Воздействие. Злоумышленник может удаленно вызвать неожиданное завершение работы приложения или выполнение произвольного кода.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2020-9894: пользователь 0011, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
WebKit
Целевые продукты: macOS Mojave и macOS High Sierra, а также macOS Catalina
Воздействие. Обработка вредоносного веб-содержимого может препятствовать выполнению правил обеспечения безопасности содержимого.
Описание. При выполнении правил обеспечения безопасности содержимого возникала проблема доступа. Проблема устранена путем улучшения ограничений доступа.
CVE-2020-9915: Ayoub AIT ELMOKHTAR из Noon
WebKit
Целевые продукты: macOS Mojave и macOS High Sierra, а также macOS Catalina
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению универсальных межсайтовых сценариев.
Описание. Логическая проблема устранена путем улучшенного управления состояниями.
CVE-2020-9925: анонимный исследователь
WebKit
Целевые продукты: macOS Mojave и macOS High Sierra, а также macOS Catalina
Воздействие. Злоумышленник может удаленно вызвать неожиданное завершение работы приложения или выполнение произвольного кода.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
CVE-2020-9893: пользователь 0011, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
CVE-2020-9895: Wen Xu из подразделения SSLab Технологического института Джорджии
WebKit
Целевые продукты: macOS Mojave и macOS High Sierra, а также macOS Catalina
Воздействие. Злоумышленник с произвольными возможностями чтения и записи может обойти аутентификацию указателя.
Описание. Ряд проблем устранен путем улучшения логики.
CVE-2020-9910: Samuel Groß из подразделения Google Project Zero
Загрузка страниц WebKit
Целевые продукты: macOS Mojave и macOS High Sierra, а также macOS Catalina
Воздействие. Злоумышленник может скрыть место назначения URL-адреса.
Описание. Проблема с Unicode-кодированием URL-адресов устранена путем улучшения управления состояниями.
CVE-2020-9916: Rakesh Mane (@RakeshMane10)
Веб-инспектор в WebKit
Целевые продукты: macOS Mojave и macOS High Sierra, а также macOS Catalina
Воздействие. Копирование URL-адреса из веб-инспектора может приводить к вставке исполняемой команды.
Описание. В веб-инспекторе существовала проблема вставки команд. Проблема устранена путем улучшения алгоритма escape-последовательностей.
CVE-2020-9862: Ophir Lojkine (@lovasoa)
WebRTC
Целевые продукты: macOS Mojave и macOS High Sierra, а также macOS Catalina
Воздействие. Злоумышленник с преимущественным положением в сети может вызывать повреждение данных в динамической памяти с помощью специально созданного SCTP-потока.
Описание. Проблема с повреждением данных в памяти устранена путем улучшения управления состояниями.
CVE-2020-6514: пользователь natashenka из подразделения Google Project Zero
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.