Сведения о проблемах системы безопасности, устраняемых обновлением Safari 12

В этом документе описаны проблемы системы безопасности, устраненные в Safari 12.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple. Зашифровать информацию, передаваемую в Apple, можно с помощью PGP-ключа безопасности продуктов Apple.

В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.

Safari 12

Safari

Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14

Воздействие. Вредоносный веб-сайт может извлекать данные автозаполнения в Safari.

Описание. Логическая проблема устранена путем улучшенного управления состояниями.

CVE-2018-4307: Рафай Балох (Rafay Baloch) из Пакистанского органа электросвязи

Safari

Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14

Воздействие. Пользователь не всегда может полностью удалить историю просмотров.

Описание. При удалении истории могут не удаляться посещения с цепочками перенаправления. Проблема устранена путем улучшения технологии удаления данных.

CVE-2018-4329: Хьюго С. Диас (Hugo S. Diaz) (coldpointblue)

Safari

Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14

Воздействие. Посещение вредоносного веб-сайта при переходе по ссылке может приводить к подмене пользовательского интерфейса.

Описание. Проблема с единообразием пользовательского интерфейса устранена путем улучшенного управления состояниями.

CVE-2018-4195: пользователь xisigr из подразделения Xuanwu Lab компании Tencent (www.tencent.com)

WebKit

Целевые продукты: ОС macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14

Воздействие. Вредоносный веб-сайт может вызывать непредвиденное поведение перекрестных источников.

Описание. Возникала проблема с перекрестными источниками, связанными с элементами iFrame. Проблема устранена путем улучшенного отслеживания источников безопасности.

CVE-2018-4319: Джон Петтит (John Pettitt) из Google

WebKit

Целевые продукты: ОС macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14

Воздействие. Неожиданное взаимодействие приводит к сбою макроса ASSERT.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки.

CVE-2018-4191: обнаружено с помощью инструмента OSS-Fuzz

WebKit

Целевые продукты: ОС macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14

Воздействие. Вредоносный веб-сайт может выполнять сценарии в контексте другого веб-сайта.

Описание. В Safari возникала проблема, связанная с выполнением межсайтовых сценариев. Проблема устранена путем улучшенной проверки URL-адресов.

CVE-2018-4309: анонимный исследователь, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

WebKit

Целевые продукты: ОС macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки памяти.

CVE-2018-4299: Самуэль Гросс (Samuel Groβ, saelo), сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

CVE-2018-4323: Иван Фратрик (Ivan Fratric) из подразделения Google Project Zero

CVE-2018-4328: Иван Фратрик (Ivan Fratric) из подразделения Google Project Zero

CVE-2018-4358: команда пользователей @phoenhex (@bkth, @5aelo и @niklasb), сотрудничающая с компанией Trend Micro в рамках программы Zero Day Initiative

CVE-2018-4359: Самуэль Гросс (Samuel Groß, @5aelo)

CVE-2018-4360: Уильям Боулинг (William Bowling, @wcbowling)

WebKit

Целевые продукты: ОС macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14

Воздействие. Класс SecurityErrors перекрестных источников включает источник структуры с полученным доступом.

Описание. Проблема устранена посредством удаления сведений об источнике.

CVE-2018-4311: Эрлинг Альф Эллингсен (Erling Alf Ellingsen, @steike)

WebKit

Целевые продукты: ОС macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14

Воздействие. Вредоносный веб-сайт может извлекать данные изображений из различных источников.

Описание. В Safari возникала проблема, связанная с выполнением межсайтовых сценариев. Проблема устранена путем улучшенной проверки URL-адресов.

CVE-2018-4345: Дзюн Кокатсу (Jun Kokatsu, @shhnjk)

WebKit

Целевые продукты: ОС macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14

Воздействие. Неожиданное взаимодействие приводит к сбою макроса ASSERT.

Описание. Проблема с использованием памяти устранена путем улучшенной обработки памяти.

CVE-2018-4361: обнаружено с помощью инструмента OSS-Fuzz

CVE-2018-4474: обнаружено с помощью инструмента OSS-Fuzz

WebKit

Целевые продукты: ОС macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема с использованием памяти после ее освобождения устранена путем улучшенного управления памятью.

CVE-2018-4312: Иван Фратрик (Ivan Fratric) из подразделения Google Project Zero

CVE-2018-4315: Иван Фратрик (Ivan Fratric) из подразделения Google Project Zero

CVE-2018-4197: Иван Фратрик (Ivan Fratric) из подразделения Google Project Zero

CVE-2018-4314: Иван Фратрик (Ivan Fratric) из подразделения Google Project Zero

CVE-2018-4318: Иван Фратрик (Ivan Fratric) из подразделения Google Project Zero

CVE-2018-4306: Иван Фратрик (Ivan Fratric) из подразделения Google Project Zero

CVE-2018-4317: Иван Фратрик (Ivan Fratric) из подразделения Google Project Zero

WebKit

Целевые продукты: ОС macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенного управления состояниями.

CVE-2018-4316: пользователь crixer, Ханмин Чжан (Hanming Zhang, @4shitak4) из группы Vulcan в Qihoo 360

Дополнительные благодарности

WebKit

Выражаем благодарность Кэри Хартлайн (Cary Hartline), Ханмину Чжану (Hanming Zhang) из группы 360 Vulcan, отделу по безопасности Keen Security Lab компании Tencent, сотрудничающему с Trend Micro в рамках программы Zero Day Initiative и Заку Малоуну (Zach Malone) из компании CA Technologies за помощь.