Obsah zabezpečenia v prehliadači Safari 13.0.1

V tomto dokumente sa popisuje obsah zabezpečenia v prehliadači Safari 13.0.1.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

Safari 13.0.1

Safari

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k predstieraniu iného zdroja v používateľskom rozhraní (tzv. spoofing)

Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-8654: Juno Im (@junorouse) zo spoločnosti Theori

Servisné procesy

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dopad: Pri servisných procesoch môže dôjsť k úniku histórie anonymného prezerania

Popis: Tento problém bol vyriešený vylepšením spracovania životnosti servisných procesov.

CVE-2019-8725: Michael Thwaite zo spoločnosti Connect Medi

WebKit

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dopad: Webový obsah so škodlivým kódom môže porušovať zásady izolovania priestoru pre prvky iFrame

Popis: Tento problém bol vyriešený vylepšením vynútenia izolovania priestoru pre prvky iFrame.

CVE-2019-8771: Eliya Stein zo spoločnosti Confiant

WebKit

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2019-8710: Nájdené programom OSS-Fuzz

CVE-2019-8743: zhunki z tímu Codesafe Team of Legendsec spoločnosti Qi'anxin Group

CVE-2019-8751: Dongzhuo Zhao v spolupráci s tímom ADLab spoločnosti Venustech

CVE-2019-8752: Dongzhuo Zhao v spolupráci s tímom ADLab spoločnosti Venustech

CVE-2019-8763: Sergei Glazunov z tímu Google Project Zero

CVE-2019-8765: Samuel Groß z tímu Google Project Zero

CVE-2019-8766: Nájdené programom OSS-Fuzz

CVE-2019-8773: Nájdené programom OSS-Fuzz

WebKit

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-8764: Sergei Glazunov z tímu Google Project Zero

WebKit

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.

CVE-2019-8762: Sergei Glazunov z tímu Google Project Zero

WebKit

Dostupné pre: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.

CVE-2020-9932: Dongzhuo Zhao v spolupráci s tímom ADLab spoločnosti Venustech

Ďalšie poďakovanie

Safari

Poďakovanie za pomoc si zaslúžia Yiğit Can YILMAZ (@yilmazcanyigit) a Zhiyang Zeng (@Wester) z tímu OPPO ZIWU Cyber Security Lab.