Сведения о проблемах безопасности, устраняемых в браузере Safari 11.1.1

В этом документе описаны проблемы системы безопасности, устраняемые обновлением Safari 11.1.1.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple. Зашифровать информацию, передаваемую в Apple, можно с помощью PGP-ключа безопасности продуктов Apple.

В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.

Safari 11.1.1

Дата выпуска: 1 июня 2018 г.

Safari

Целевые продукты: ОС OS X El Capitan 10.11.6, macOS Sierra 10.12.6 и macOS High Sierra 10.13.4

Воздействие. Вредоносный веб-сайт может вызвать отказ в обслуживании.

Описание. Проблема отказа в обслуживании устранена путем улучшенной проверки.

CVE-2018-4247: Франсуа Рено (François Renaud) и Джесси Вивьяно (Jesse Viviano) из компании Verizon Enterprise Solutions

Safari

Целевые продукты: ОС OS X El Capitan 10.11.6, macOS Sierra 10.12.6 и macOS High Sierra 10.13.4

Воздействие. Посещение вредоносного веб-сайта может приводить к подмене адресной строки.

Описание. Проблема с единообразием пользовательского интерфейса устранена путем улучшенного управления состояниями.

CVE-2018-4205: пользователь xisigr из отдела Xuanwu Lab компании Tencent (tencent.com)

WebKit

Целевые продукты: ОС OS X El Capitan 10.11.6, macOS Sierra 10.12.6 и macOS High Sierra 10.13.4

Воздействие. Посещение вредоносного веб-сайта может приводить к перезаписи файлов cookie.

Описание. При обработке переменной геопозиции возникала проблема с обработкой файлов cookie в веб-браузере. Проблема устранена путем улучшенной проверки ограничений.

CVE-2018-4232: анонимный исследователь, Аймерик Чаиб (Aymeric Chaib)

WebKit

Целевые продукты: ОС OS X El Capitan 10.11.6, macOS Sierra 10.12.6 и macOS High Sierra 10.13.4

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема смешения типов устранена путем улучшенной обработки памяти.

CVE-2018-4246: обнаружено с помощью инструмента OSS-Fuzz

WebKit

Целевые продукты: ОС OS X El Capitan 10.11.6, macOS Sierra 10.12.6 и macOS High Sierra 10.13.4

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема с возникновением условия состязания устранена путем улучшенной блокировки.

CVE-2018-4192: Маркус Гасделен (Markus Gaasedelen), Ник Бернетт (Nick Burnett) и Патрик Бирнат (Patrick Biernat) из Ret2 Systems Inc, сотрудничающие с компанией Trend Micro в рамках программы Zero Day Initiative

WebKit

Целевые продукты: ОС OS X El Capitan 10.11.6, macOS Sierra 10.12.6 и macOS High Sierra 10.13.4

Воздействие. Посещение вредоносного веб-сайта может приводить к подмене адресной строки.

Описание. Проблема с единообразием пользовательского интерфейса устранена путем улучшенного управления состояниями.

CVE-2018-4188: ЙоКо Кхо (YoKo Kho, @YoKoAcc) из компании Mitra Integrasi Informatika PT

WebKit

Целевые продукты: ОС OS X El Capitan 10.11.6, macOS Sierra 10.12.6 и macOS High Sierra 10.13.4

Воздействие. Обработка вредоносного веб-содержимого могла привести к неожиданному сбою Safari.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2018-4214: обнаружено с помощью инструмента OSS-Fuzz

WebKit

Целевые продукты: ОС OS X El Capitan 10.11.6, macOS Sierra 10.12.6 и macOS High Sierra 10.13.4

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки памяти.

CVE-2018-4201: анонимный исследователь

CVE-2018-4218: Натали Сильванович (Natalie Silvanovich) из Google Project Zero

CVE-2018-4233: Сэмюэл Гросс (Samuel Gross, @5aelo), сотрудничающий с компанией Trend Micro по программе Zero Day Initiative

WebKit

Целевые продукты: ОС OS X El Capitan 10.11.6, macOS Sierra 10.12.6 и macOS High Sierra 10.13.4

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.

CVE-2018-4199: Алекс Пласкетт (Alex Plaskett), Джеорджи Джешев (Georgi Geshev) и Фаби Бетерке (Fabi Beterke) из MWR Labs, сотрудничающие с компанией Trend Micro в рамках программы Zero Day Initiative

Запись обновлена 14 июня 2018 г.

WebKit

Целевые продукты: ОС OS X El Capitan 10.11.6, macOS Sierra 10.12.6 и macOS High Sierra 10.13.4

Воздействие. Посещение вредоносной веб-страницы могло привести к утечке важных данных.

Описание. При получении изображений маски CSS неожиданно происходила отправка данных учетной записи. Проблема устранена путем использования способа получения на основе технологии CORS.

CVE-2018-4190: Джун Кокатсу (Jun Kokatsu, @shhnjk)

WebKit

Целевые продукты: ОС OS X El Capitan 10.11.6, macOS Sierra 10.12.6 и macOS High Sierra 10.13.4

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2018-4222: Натали Сильванович (Natalie Silvanovich) из Google Project Zero

WebKit

Целевые продукты: ОС OS X El Capitan 10.11.6, macOS Sierra 10.12.6 и macOS High Sierra 10.13.4

Воздействие. Посещение вредоносного веб-сайта может приводить к подмене адресной строки.

Описание. При обработке URL-адресов возникала проблема подмены URL-адресов. Эта проблема устранена путем улучшенной проверки ввода.

CVE-2018-4277: пользователь xisigr из отдела Xuanwu Lab компании Tencent (tencent.com)

Запись добавлена 10 июля 2018 г.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: