Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительную информацию о безопасности см. на странице, посвященной безопасности продуктов Apple.
Safari 14.1.1
Дата выпуска: 24 мая 2021 г.
WebKit
Целевые продукты: macOS Catalina и macOS Mojave
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшения обработки памяти.
CVE-2021-30749: анонимный исследователь и пользователь mipu94 из лаборатории SEFCOM ASU, сотрудничающие с компанией Trend Micro в рамках программы Zero Day Initiative
CVE-2021-30734: Jack Dates из RET2 Systems, Inc. (@ret2systems), сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
WebKit
Целевые продукты: macOS Catalina и macOS Mojave
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению универсальных межсайтовых сценариев.
Описание. Проблема с перекрестными источниками, связанными с элементами iframe, устранена путем улучшения отслеживания источников безопасности.
CVE-2021-30744: Dan Hite из jsontop
WebKit
Целевые продукты: macOS Catalina и macOS Mojave
Воздействие. Вредоносный веб-сайт мог получить доступ к портам с ограниченным доступом на произвольных серверах.
Описание. Проблема с логикой устранена путем улучшения ограничений.
CVE-2021-30720: David Schütz (@xdavidhu)
WebKit
Целевые продукты: macOS Catalina и macOS Mojave
Воздействие. Вредоносное приложение может вызвать утечку конфиденциальных данных пользователя.
Описание. Проблема с логикой устранена путем улучшения ограничений.
CVE-2021-30682: пользователь Prakash (@1lastBr3ath)
Запись обновлена 21 июля 2021 г.
WebKit
Целевые продукты: macOS Catalina и macOS Mojave
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
CVE-2021-21779: Marcin Towalski из Cisco Talos
WebKit
Целевые продукты: macOS Catalina и macOS Mojave
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению универсальных межсайтовых сценариев.
Описание. Логическая проблема устранена путем улучшенного управления состояниями.
CVE-2021-30689: анонимный исследователь
WebKit
Целевые продукты: macOS Catalina и macOS Mojave
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема целочисленного переполнения устранена путем улучшения проверки ввода.
CVE-2021-30663: анонимный исследователь
WebRTC
Целевые продукты: macOS Catalina и macOS Mojave
Воздействие. Злоумышленник может удаленно вызвать отказ в обслуживании.
Описание. Проблема разыменования нулевого указателя устранена путем улучшения проверки ввода.
CVE-2021-23841: Tavis Ormandy из Google
CVE-2021-30698: Tavis Ormandy из Google
Дополнительные благодарности
WebKit
Благодарим за помощь Chris Salls (@salls) из Makai Security.