Informácie o obsahu zabezpečenia v prehliadači Safari 13.0.5.

V tomto dokumente sa popisuje obsah zabezpečenia v prehliadači Safari 13.0.5.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

Safari 13.0.5

Safari

K dispozícii pre: macOS Mojave a macOS High Sierra, zahrnuté v systéme macOS Catalina

Dopad: Spracovanie URL adresy so škodlivým kódom môže viesť k spusteniu ľubovoľného JavaScript kódu.

Popis: Dochádzalo k problému so spracovaním vlastnej schémy URL, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-9860: CodeColorist z tímu Ant-Financial LightYear Labs

Safari

K dispozícii pre: macOS Mojave a macOS High Sierra, zahrnuté v systéme macOS Catalina

Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k sfalšovaniu lišty s adresou.

Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2020-3833: Nikhil Mittal (@c0d3G33k) z tímu Payatu Labs (payatu.com)

Safari

K dispozícii pre: macOS Mojave a macOS High Sierra, zahrnuté v systéme macOS Catalina

Dopad: Schéma URL sa môže pri určovaní multimediálneho povolenia pre webovú stránku nesprávne ignorovať.

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.

CVE-2020-3852: Ryan Pickren (ryanpickren.com)

Automatické vypĺňanie prihlasovacích údajov v Safari

K dispozícii pre: macOS Mojave a macOS High Sierra, zahrnuté v systéme macOS Catalina

Dopad: Lokálny používateľ môže cez sieť nevedome odoslať nezašifrované heslo.

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania používateľského rozhrania.

CVE-2020-3841: Sebastian Bicchi (@secresDoge) zo spoločnosti Sec-Research

WebKit

K dispozícii pre: macOS Mojave a macOS High Sierra, zahrnuté v systéme macOS Catalina

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS).

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2020-3867: Anonymný výskumník

WebKit

K dispozícii pre: macOS Mojave a macOS High Sierra, zahrnuté v systéme macOS Catalina

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu.

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2020-3825: Przemysław Sporysz zo spoločnosti Euvic

CVE-2020-3868: Marcin Towalski zo spoločnosti Cisco Talos

WebKit

K dispozícii pre: macOS Mojave a macOS High Sierra, zahrnuté v systéme macOS Catalina

Dopad: Webová stránka so škodlivým kódom môže byť schopná spôsobiť odmietnutie služby.

Popis: Dochádzalo k problému súvisiacemu s odmietnutím služby, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2020-3862: Srikanth Gatta z tímu Google Chrome

Načítavanie stránok mechanizmom WebKit

K dispozícii pre: macOS Mojave a macOS High Sierra, zahrnuté v systéme macOS Catalina

Dopad: Kontext objektu DOM najvyššej úrovne sa mohol nesprávne považovať za bezpečný.

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.

CVE-2020-3865: Ryan Pickren (ryanpickren.com)

Načítavanie stránok mechanizmom WebKit

K dispozícii pre: macOS Mojave a macOS High Sierra, zahrnuté v systéme macOS Catalina

Dopad: Kontext objektu DOM nemusel mať jedinečný pôvod zabezpečenia.

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.

CVE-2020-3864: Ryan Pickren (ryanpickren.com)