Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.
Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple. Зашифровать информацию, передаваемую в Apple, можно с помощью PGP-ключа безопасности продуктов Apple.
В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.
Safari 12.0.1
Дата выпуска: 30 октября 2018 г.
Safari Reader
Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14
Воздействие. Включение функции Safari Reader на вредоносной веб-странице может приводить к выполнению универсальных межсайтовых сценариев.
Описание. Проблема с логикой устранена путем улучшенной проверки.
CVE-2018-4374: Райан Пикрен (Ryan Pickren, ryanpickren.com)
Safari Reader
Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14
Воздействие. Включение функции Safari Reader на вредоносной веб-странице может приводить к выполнению универсальных межсайтовых сценариев.
Описание. В Safari возникала проблема, связанная с выполнением межсайтовых сценариев. Проблема устранена путем улучшенной проверки URL-адресов.
CVE-2018-4377: Райан Пикрен (Ryan Pickren, ryanpickren.com)
WebKit
Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки памяти.
CVE-2018-4372: Хёнсок Хан (HyungSeok Han), Донхьен Ох (DongHyeon Oh) и Сан Кил Ча (Sang Kil Cha) из лаборатории SoftSec института KAIST (Южная Корея)
CVE-2018-4373: пользователи ngg, alippai, DirtYiCE и KT из компании Tresorit, сотрудничающие с компанией Trend Micro в рамках программы Zero Day Initiative
CVE-2018-4375: Ю Хайвань (Yu Haiwan) и Ву Хондзюн (Wu Hongjun) из Наньянского технологического университета, сотрудничающие с компанией Trend Micro в рамках программы Zero Day Initiative
CVE-2018-4376: пользователь 010, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
CVE-2018-4382: пользователь lokihardt из подразделения Google Project Zero
CVE-2018-4386: пользователь lokihardt из подразделения Google Project Zero
CVE-2018-4392: пользователь zhunki из подразделения 360 ESG Codesafe
CVE-2018-4416: пользователь lokihardt из подразделения Google Project Zero
WebKit
Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14
Воздействие. Вредоносный веб-сайт может вызвать отказ в обслуживании.
Описание. Проблема с исчерпанием ресурсов устранена путем улучшенной проверки ввода.
CVE-2018-4409: Сабри Хаддуш (Sabri Haddouche, @pwnsdx) из компании Wire Swiss GmbH
WebKit
Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению кода.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки.
CVE-2018-4378: Хёнсок Хан (HyungSeok Han), Донхьен Ох (DongHyeon Oh) и Сан Кил Ча (Sang Kil Cha) из лаборатории SoftSec института KAIST (Южная Корея), пользователь zhunki из подразделения 360 ESG Codesafe
Запись обновлена 16 ноября 2018 г.
Дополнительные благодарности
Safari
Выражаем благодарность за помощь Йигиту Кану Йилмазу (Yiğit Can YILMAZ, @yilmazcanyigit).
Запись добавлена 22 января 2019 г.