Obsah zabezpečenia v prehliadači Safari 12.1

V tomto dokumente sa opisuje obsah zabezpečenia v prehliadači Safari 12.1.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.

Ak je to možné, dokumenty spoločnosti Apple týkajúce sa zabezpečenia odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke týkajúcej sa zabezpečenia produktov Apple.

Safari 12.1

Vydané 25. marca 2019

Čítačka Safari

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 a masOS Mojave 10.14.4

Dopad: Povolenie funkcie čítačky Safari na webovej stránke so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.

CVE-2019-6204: Ryan Pickren (ryanpickren.com)

CVE-2019-8505: Ryan Pickren (ryanpickren.com)

WebKit

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 a macOS Mojave 10.14.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8506: Samuel Groß z tímu Google Project Zero

WebKit

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 a macOS Mojave 10.14.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-8535: Zhiyang Zeng (@Wester) z tímu Tencent Blade

WebKit

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 a macOS Mojave 10.14.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2019-6201: dwfault v spolupráci s tímom ADLab zo spoločnosti Venustech

CVE-2019-8518: Samuel Groß z tímu Google Project Zero

CVE-2019-8523: Apple

CVE-2019-8524: G. Geshev v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CVE-2019-8558: Samuel Groß z tímu Google Project Zero

CVE-2019-8559: Apple

CVE-2019-8563: Apple

WebKit

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 a macOS Mojave 10.14.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8536: Apple

CVE-2019-8544: anonymný výskumník

WebKit

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 a macOS Mojave 10.14.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k úniku citlivých informácií používateľa

Popis: V rozhraní API na načítanie dát dochádzalo k problému so zámenou pôvodu. Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2019-8515: James Lee (@Windowsrcer)

WebKit

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 a macOS Mojave 10.14.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s použitím po uvoľnení, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-7285: dwfault v spolupráci s tímom ADLab zo spoločnosti Venustech

CVE-2019-8556: Apple

WebKit

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 a macOS Mojave 10.14.4

Dopad: Webová lokalita so škodlivým kódom môže byť schopná spúšťať skripty v kontexte inej webovej lokality

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.

CVE-2019-8503: Linus Särud zo spoločnosti Detectify

WebKit

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 a macOS Mojave 10.14.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.

CVE-2019-7292: Zhunki a Zhiyi Zhang z tímu 360 ESG Codesafe Team

WebKit

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 a macOS Mojave 10.14.4

Dopad: Izolovaný proces môže byť schopný obísť obmedzenia izolovaného priestoru

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.

CVE-2019-8562: Wen Xu z tímu SSLab na univerzite Georgia Tech a Hanqing Zhao z tímu Chaitin Security Research Lab

WebKit

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 a macOS Mojave 10.14.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.

CVE-2019-8551: Ryan Pickren (ryanpickren.com)

Ďalšie poďakovanie

Safari

Poďakovanie za pomoc si zaslúži Nikhil Mittal (@c0d3G33k) z tímu Payatu Labs (payatu.com).

WebKit

Poďakovanie za pomoc si zaslúži Andrey Kovalev z tímu Yandex Security Team.

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Používanie internetu má svoje riziká. Ak potrebujete ďalšie informácie, obráťte sa na dodávateľa. Ďalšie názvy spoločností a produktov môžu byť ochrannými známkami príslušných vlastníkov.

Dátum zverejnenia: