Om säkerhetsinnehållet i Safari 12
Det här dokumentet beskriver säkerhetsinnehållet i Safari 12.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-nyckel från Apple Product Security.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Safari 12
Safari
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Effekt: En skadlig webbplats kan orsaka åtkomst till automatiskt ifyllda data i Safari
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2018-4307: Rafay Baloch på Pakistan Telecommunications Authority
Safari
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Effekt: En användare kan kanske inte ta bort webbläsarhistorikobjekt
Beskrivning: Rensning av historikobjekt rensar kanske inte besök med omdirigerade kedjor. Problemet har åtgärdats genom förbättrad databorttagning.
CVE-2018-4329: Hugo S. Diaz (coldpointblue)
Safari
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Effekt: Besök på en webbplats med skadligt innehåll via länkklick kan leda till att användargränssnittet förfalskas
Beskrivning: Ett problem med inkonsekvent användargränssnitt åtgärdades med hjälp av förbättrad tillståndshantering.
CVE-2018-4195: xisigr på Tencents Xuanwu Lab (www.tencent.com)
WebKit
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Effekt: En webbplats med skadligt innehåll kan orsaka ett oväntat beteende med data från flera källor
Beskrivning: Ett problem med data från flera källor förekom i iframe-element. Problemet åtgärdades genom förbättrad spårning av säkerhetskällor.
CVE-2018-4319: John Pettitt på Google
WebKit
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Effekt: Oväntad interaktion leder till ett ASSERT-fel
Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.
CVE-2018-4191: upptäcktes av OSS-Fuzz
WebKit
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Effekt: En skadligt utformad webbplats kan köra skript i samband med en annan webbplats.
Beskrivning: Ett problem med skriptkörning över flera webbplatser hittades i Safari. Problemet har åtgärdats genom förbättrad URL-validering.
CVE-2018-4309: En anonym forskare i samarbete med Trend Micros Zero Day Initiative
WebKit
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-2018-4299: Samuel Groβ (saelo) i samarbete med Trend Micros Zero Day Initiative
CVE-2018-4323: Ivan Fratric på Google Project Zero
CVE-2018-4328: Ivan Fratric på Google Project Zero
CVE-2018-4358: @phoenhex team (@bkth_ @5aelo @_niklasb) i samarbete med Trend Micros Zero Day Initiative
CVE-2018-4359: Samuel Groß (@5aelo)
CVE-2018-4360: William Bowling (@wcbowling)
WebKit
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Effekt: SecurityErrors från flera källor innehåller ursprunget för ramen som öppnas.
Beskrivning: Problemet åtgärdades genom att ta bort information om ursprung.
CVE-2018-4311: Erling Alf Ellingsen (@steike)
WebKit
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Effekt: En skadlig webbplats kan komma åt bilddata från flera källor
Beskrivning: Ett problem med skriptkörning över flera webbplatser hittades i Safari. Problemet har åtgärdats genom förbättrad URL-validering.
CVE-2018-4345: Jun Kokatsu (@shhnjk)
WebKit
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Effekt: Oväntad interaktion leder till ett ASSERT-fel
Beskrivning: Ett problem med minnesförbrukningen åtgärdades genom förbättrad minneshantering.
CVE-2018-4361: upptäcktes av OSS-Fuzz
CVE-2018-4474: upptäcktes av OSS-Fuzz
WebKit
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.
CVE-2018-4312: Ivan Fratric på Google Project Zero
CVE-2018-4315: Ivan Fratric på Google Project Zero
CVE-2018-4197: Ivan Fratric på Google Project Zero
CVE-2018-4314: Ivan Fratric på Google Project Zero
CVE-2018-4318: Ivan Fratric på Google Project Zero
CVE-2018-4306: Ivan Fratric på Google Project Zero
CVE-2018-4317: Ivan Fratric på Google Project Zero
WebKit
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.
CVE-2018-4316: crixer, Hanming Zhang (@4shitak4) på Qihoo 360 Vulcan Team
Ytterligare tack
WebKit
Vi vill tacka Cary Hartline, Hanming Zhang från 360 Vulcan team, Tencent Keen Security Lab i samarbete med Trend Micros Zero Day Initiative och Zach Malone på CA Technologies för deras hjälp.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.