Сведения о проблемах системы безопасности, устраняемых обновлением Safari 12

В этом документе описаны проблемы системы безопасности, устраненные в Safari 12.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple. Зашифровать информацию, передаваемую в Apple, можно с помощью PGP-ключа безопасности продуктов Apple.

В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.

Safari 12

Дата выпуска: 17 сентября 2018 г.

Safari

Целевые продукты: ОС macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14

Воздействие. Вредоносный веб-сайт может извлекать данные автозаполнения в браузере Safari.

Описание. Логическая проблема устранена путем улучшенного управления состояниями.

CVE-2018-4307: Рафай Балох (Rafay Baloch) из Пакистанского органа электросвязи

Запись обновлена 24 сентября 2018 г.

Safari

Целевые продукты: ОС macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14

Воздействие. Пользователь не всегда может полностью удалить историю просмотров.

Описание. При удалении истории могут не удаляться посещения с цепочками перенаправления. Проблема устранена путем улучшения технологии удаления данных.

CVE-2018-4329: Хьюго С. Диас (Hugo S. Diaz, coldpointblue)

Запись обновлена 24 сентября 2018 г.

Safari

Целевые продукты: ОС macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14

Воздействие. Посещение вредоносного веб-сайта при переходе по ссылке может приводить к подмене пользовательского интерфейса.

Описание. Проблема с единообразием пользовательского интерфейса устранена путем улучшенного управления состояниями.

CVE-2018-4195: пользователь xisigr из подразделения Xuanwu Lab компании Tencent (www.tencent.com)

Запись обновлена 24 сентября 2018 г.

WebKit

Целевые продукты: ОС macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14

Воздействие. Вредоносный веб-сайт может вызывать непредвиденное поведение перекрестных источников.

Описание. Возникала проблема с перекрестными источниками, связанными с элементами iFrame. Проблема устранена путем улучшенного отслеживания источников безопасности.

CVE-2018-4319: Джон Петтит (John Pettitt) из корпорации Google

Запись добавлена 24 сентября 2018 г.

WebKit

Целевые продукты: ОС macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14

Воздействие. Неожиданное взаимодействие вызывает сбой макроса ASSERT.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки.

CVE-2018-4191: обнаружено с помощью инструмента OSS-Fuzz

Запись добавлена 24 сентября 2018 г.

WebKit

Целевые продукты: ОС macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14

Воздействие. Вредоносный веб-сайт может выполнять сценарии в контексте другого веб-сайта.

Описание. В браузере Safari возникала проблема, связанная с выполнением межсайтовых сценариев. Проблема устранена путем улучшенной проверки URL-адресов.

CVE-2018-4309: анонимный исследователь, сотрудничающий с компанией Trend Micro по программе Zero Day Initiative

Запись добавлена 24 сентября 2018 г.

WebKit

Целевые продукты: ОС macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки памяти.

CVE-2018-4299: Самуэль Гросс (Samuel Groβ, saelo), сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

CVE-2018-4323: Иван Фратрик (Ivan Fratric) из подразделения Google Project Zero

CVE-2018-4328: Иван Фратрик (Ivan Fratric) из подразделения Google Project Zero

CVE-2018-4358: команда пользователей @phoenhex (@bkth, @5aelo и @niklasb), сотрудничающая с компанией Trend Micro в рамках программы Zero Day Initiative

CVE-2018-4359: Самуэль Гросс (Samuel Groß, @5aelo)

CVE-2018-4360: Уильям Боулинг (William Bowling, @wcbowling)

Запись добавлена 24 сентября 2018 г. и обновлена 24 октября 2018 г.

WebKit

Целевые продукты: ОС macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14

Воздействие. Класс SecurityErrors перекрестных источников включает источник структуры с полученным доступом.

Описание. Проблема устранена посредством удаления сведений об источнике.

CVE-2018-4311: Эрлинг Альф Эллингсен (Erling Alf Ellingsen, @steike)

Запись добавлена 24 сентября 2018 г.

WebKit

Целевые продукты: ОС macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14

Воздействие. Вредоносный веб-сайт может извлекать данные изображений из различных источников.

Описание. В браузере Safari возникала проблема, связанная с выполнением межсайтовых сценариев. Проблема устранена путем улучшенной проверки URL-адресов.

CVE-2018-4345: анонимный исследователь

Запись добавлена 24 сентября 2018 г.

WebKit

Целевые продукты: ОС macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14

Воздействие. Неожиданное взаимодействие вызывает сбой макроса ASSERT.

Описание. Проблема с использованием памяти устранена путем улучшенной обработки памяти.

CVE-2018-4361: обнаружено с помощью инструмента OSS-Fuzz

Запись добавлена 24 сентября 2018 г. и обновлена 24 октября 2018 г.

WebKit

Целевые продукты: ОС macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема с использованием памяти после ее освобождения устранена путем улучшенного управления памятью.

CVE-2018-4312: Иван Фратрик (Ivan Fratric) из подразделения Google Project Zero

CVE-2018-4315: Иван Фратрик (Ivan Fratric) из подразделения Google Project Zero

CVE-2018-4197: Иван Фратрик (Ivan Fratric) из подразделения Google Project Zero

CVE-2018-4314: Иван Фратрик (Ivan Fratric) из подразделения Google Project Zero

CVE-2018-4318: Иван Фратрик (Ivan Fratric) из подразделения Google Project Zero

CVE-2018-4306: Иван Фратрик (Ivan Fratric) из подразделения Google Project Zero

CVE-2018-4317: Иван Фратрик (Ivan Fratric) из подразделения Google Project Zero

Запись добавлена 24 сентября 2018 г.

WebKit

Целевые продукты: ОС macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема повреждения памяти устранена путем улучшенного управления состоянием.

CVE-2018-4316: пользователь crixer, Ханмин Чжан (Hanming Zhang, @4shitak4) из группы Vulcan в Qihoo 360

Запись добавлена 24 сентября 2018 г.

Дополнительные благодарности

WebKit

Выражаем благодарность Кэри Хартлайн (Cary Hartline), Ханмину Чжану (Hanming Zhang) из группы 360 Vulcan, отделу по безопасности Keen Security Lab компании Tencent, сотрудничающему с Trend Micro в рамках программы Zero Day Initiative и Заку Малоуну (Zach Malone) из компании CA Technologies за помощь.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: