Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.
Ďalšie informácie o zabezpečení nájdete na stránke týkajúcej sa zabezpečenia produktov Apple. Komunikáciu so spoločnosťou Apple môžete zašifrovať pomocou kľúča PGP zabezpečenia produktov Apple.
Ak je to možné, dokumenty spoločnosti Apple týkajúce sa zabezpečenia odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Safari 12
Vydané 17. septembra 2018
Safari
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Dopad: Webová stránka so škodlivým kódom môže byť schopná získať automaticky vyplnené údaje v Safari
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2018-4307: Rafay Baloch z agentúry Pakistan Telecommunications Authority
Dátum aktualizácie záznamu: 24. septembra 2018
Safari
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Dopad: Používateľ môže mať problém s odstránením položiek histórie prehliadania
Popis: Vymazaním položky histórie sa nemusia vymazať záznamy návštev stránok s reťazovými presmerovaniami. Tento problém bol vyriešený vylepšením odstraňovania dát.
CVE-2018-4329: Hugo S. Diaz (coldpointblue)
Dátum aktualizácie záznamu: 24. septembra 2018
Safari
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Dopad: Návšteva webovej stránky so škodlivým kódom kliknutím na odkaz môže viesť k sfalšovaniu používateľského rozhrania
Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.
CVE-2018-4195: xisigr z tímu Xuanwu Lab spoločnosti Tencent (www.tencent.com)
Dátum aktualizácie záznamu: 24. septembra 2018
WebKit
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Dopad: Webová stránka so škodlivým kódom môže spôsobiť neočakávané správanie využívajúce zámenu pôvodu
Popis: V prvkoch iframe dochádzalo k problému so zámenou pôvodu. Tento problém bol vyriešený vylepšením sledovania pôvodov zabezpečenia.
CVE-2018-4319: John Pettitt zo spoločnosti Google
Dátum pridania záznamu: 24. septembra 2018
WebKit
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Dopad: Neočakávaná interakcia spôsobovala zlyhanie ASSERT
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2018-4191: Nájdené programom OSS-Fuzz
Dátum pridania záznamu: 24. septembra 2018
WebKit
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Dopad: Webová stránka so škodlivým kódom môže byť schopná spúšťať skripty v kontexte inej webovej lokality
Popis: V Safari dochádzalo k problému súvisiacemu so skriptovaním medzi lokalitami. Tento problém bol vyriešený vylepšením overovania URL adries.
CVE-2018-4309: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Dátum pridania záznamu: 24. septembra 2018
WebKit
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2018-4299: Samuel Groβ (saelo) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2018-4323: Ivan Fratric z tímu Google Project Zero
CVE-2018-4328: Ivan Fratric z tímu Google Project Zero
CVE-2018-4358: @phoenhex team (@bkth_, @5aelo a @_niklasb) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2018-4359: Samuel Groß (@5aelo)
CVE-2018-4360: William Bowling (@wcbowling)
Dátum pridania záznamu: 24. septembra 2018, dátum aktualizácie: 24. októbra 2018
WebKit
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Dopad: Chyba SecurityErrors súvisiaca so zámenou pôvodu obsahovala informácie o pôvode používaného rámca
Tento problém bol vyriešený odstránením informácií o pôvode.
CVE-2018-4311: Erling Alf Ellingsen (@steike)
Dátum pridania záznamu: 24. septembra 2018
WebKit
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Dopad: Webová stránka so škodlivým kódom môže stiahnuť dáta obrázkov z iného miesta
Popis: V Safari dochádzalo k problému súvisiacemu so skriptovaním medzi lokalitami. Tento problém bol vyriešený vylepšením overovania URL adries.
CVE-2018-4345: Jun Kokatsu (@shhnjk)
Dátum pridania záznamu: 24. septembra 2018, dátum aktualizácie: 18. decembra 2018
WebKit
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Dopad: Neočakávaná interakcia spôsobovala zlyhanie ASSERT
Popis: Dochádzalo k problému súvisiacemu so spotrebou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2018-4361: Nájdené programom OSS-Fuzz
CVE-2018-4474: Nájdené programom OSS-Fuzz
Dátum pridania záznamu: 24. septembra 2018, dátum aktualizácie: 22. januára 2019
WebKit
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s použitím po uvoľnení, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2018-4312: Ivan Fratric z tímu Google Project Zero
CVE-2018-4315: Ivan Fratric z tímu Google Project Zero
CVE-2018-4197: Ivan Fratric z tímu Google Project Zero
CVE-2018-4314: Ivan Fratric z tímu Google Project Zero
CVE-2018-4318: Ivan Fratric z tímu Google Project Zero
CVE-2018-4306: Ivan Fratric z tímu Google Project Zero
CVE-2018-4317: Ivan Fratric z tímu Google Project Zero
Dátum pridania záznamu: 24. septembra 2018
WebKit
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2018-4316: crixer, Hanming Zhang (@4shitak4) z tímu Qihoo 360 Vulcan
Dátum pridania záznamu: 24. septembra 2018
Ďalšie poďakovanie
WebKit
Poďakovanie za pomoc si zaslúžia Cary Hartline, Hanming Zhang z tímu 360 Vulcan, Tencent Keen Security Lab v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro a Zach Malone zo spoločnosti CA Technologies.