Сведения о проблемах безопасности, устраняемых обновлением Safari 14.1.1

В этом документе описываются проблемы безопасности, устраняемые обновлением Safari 14.1.1.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительную информацию о безопасности см. на странице, посвященной безопасности продуктов Apple.

Safari 14.1.1

WebKit

Целевые продукты: macOS Catalina и macOS Mojave

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшения обработки памяти.

CVE-2021-30749: анонимный исследователь и пользователь mipu94 из лаборатории SEFCOM ASU, сотрудничающие с компанией Trend Micro в рамках программы Zero Day Initiative

CVE-2021-30734: Jack Dates из RET2 Systems, Inc. (@ret2systems), сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

WebKit

Целевые продукты: macOS Catalina и macOS Mojave

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению универсальных межсайтовых сценариев.

Описание. Проблема с перекрестными источниками, связанными с элементами iframe, устранена путем улучшения отслеживания источников безопасности.

CVE-2021-30744: Dan Hite из jsontop

WebKit

Целевые продукты: macOS Catalina и macOS Mojave

Воздействие. Вредоносный веб-сайт мог получить доступ к портам с ограниченным доступом на произвольных серверах.

Описание. Проблема с логикой устранена путем улучшения ограничений.

CVE-2021-30720: David Schütz (@xdavidhu)

WebKit

Целевые продукты: macOS Catalina и macOS Mojave

Воздействие. Вредоносное приложение может вызвать утечку конфиденциальных данных пользователя.

Описание. Проблема с логикой устранена путем улучшения ограничений.

CVE-2021-30682: пользователь Prakash (@1lastBr3ath)

WebKit

Целевые продукты: macOS Catalina и macOS Mojave

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2021-21779: Marcin Towalski из Cisco Talos

WebKit

Целевые продукты: macOS Catalina и macOS Mojave

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению универсальных межсайтовых сценариев.

Описание. Логическая проблема устранена путем улучшенного управления состояниями.

CVE-2021-30689: анонимный исследователь

WebKit

Целевые продукты: macOS Catalina и macOS Mojave

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема целочисленного переполнения устранена путем улучшения проверки ввода.

CVE-2021-30663: анонимный исследователь

WebRTC

Целевые продукты: macOS Catalina и macOS Mojave

Воздействие. Злоумышленник может удаленно вызвать отказ в обслуживании.

Описание. Проблема разыменования нулевого указателя устранена путем улучшения проверки ввода.

CVE-2021-23841: Tavis Ormandy из Google

CVE-2021-30698: Tavis Ormandy из Google

Дополнительные благодарности

WebKit

Благодарим за помощь Chris Salls (@salls) из Makai Security.