เกี่ยวกับเนื้อหาความปลอดภัยของ Safari 11.1
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ Safari 11.1
เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
Safari 11.1
Safari
มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 และ macOS High Sierra 10.13.4
ผลกระทบ: การเข้าชมเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงแถบที่อยู่
คำอธิบาย: ปัญหาอินเทอร์เฟซผู้ใช้ไม่สอดคล้องได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2018-4102: Kai Zhao จาก 3H security team
CVE-2018-4116: @littlelailo, xisigr จาก Xuanwu Lab ของ Tencent (tencent.com)
การดาวน์โหลด Safari
มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 และ macOS High Sierra 10.13.4
ผลกระทบ: ในการเลือกชมเว็บแบบส่วนตัว การดาวน์โหลดบางรายการไม่ถูกลบออกจากรายการดาวน์โหลด
คำอธิบาย: มีปัญหาการรั่วไหลของข้อมูลในการจัดการรายการดาวน์โหลดในการเลือกชมเว็บแบบส่วนตัวของ Safari ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบเพิ่มเติม
CVE-2018-4186: นักวิจัยนิรนาม
การป้อนข้อมูลอัตโนมัติในการเข้าสู่ระบบของ Safari
มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 และ macOS High Sierra 10.13.4
ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจสามารถถอนข้อมูลที่ป้อนอัตโนมัติใน Safari ได้โดยที่ผู้ใช้ไม่ได้ดำเนินการใดๆ โดยตรง
คำอธิบาย: การป้อนอัตโนมัติของ Safari เกิดขึ้นเองโดยไม่มีการดำเนินการโดยตรงจากผู้ใช้ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการวิเคราะห์พฤติกรรมการป้อนอัตโนมัติให้ดียิ่งขึ้น
CVE-2018-4137
WebKit
มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 และ macOS High Sierra 10.13.4
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2018-4101: Yuan Deng จาก Ant-financial Light-Year Security Lab
CVE-2018-4114: พบโดย OSS-Fuzz
CVE-2018-4118: Jun Kokatsu (@shhnjk)
CVE-2018-4119: นักวิจัยนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2018-4120: Hanming Zhang (@4shitak4) จาก Qihoo 360 Vulcan Team
CVE-2018-4121: natashenka จาก Google Project Zero
CVE-2018-4122: WanderingGlitch จาก Zero Day Initiative ของ Trend Micro
CVE-2018-4125: WanderingGlitch จาก Zero Day Initiative ของ Trend Micro
CVE-2018-4127: นักวิจัยนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2018-4128: Zach Markley
CVE-2018-4129: likemeng จาก Baidu Security Lab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2018-4130: Omair ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2018-4161: WanderingGlitch จาก Zero Day Initiative ของ Trend Micro
CVE-2018-4162: WanderingGlitch จาก Zero Day Initiative ของ Trend Micro
CVE-2018-4163: WanderingGlitch จาก Zero Day Initiative ของ Trend Micro
CVE-2018-4165: Hanming Zhang (@4shitak4) จาก Qihoo 360 Vulcan Team
WebKit
มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 และ macOS High Sierra 10.13.4
ผลกระทบ: การไปเว็บไซต์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดภัยคุกคามแบบแฝงสคริปต์ (Cross-site Scripting) ได้
คำอธิบาย: มีปัญหาการแฝงสคริปต์ (Cross-site Scripting) ใน Safari ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ URL ให้ดียิ่งขึ้น
CVE-2018-4133: Anton Lopanitsyn จาก Wallarm, Linus Särud จาก Detectify (detectify.com), Yuji Tounai จาก NTT Communications Corporation
WebKit
มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 และ macOS High Sierra 10.13.4
ผลกระทบ: การโต้ตอบที่ไม่คาดคิดกับประเภทการจัดทำดัชนีส่งผลให้เกิดความล้มเหลว ASSERT
คำอธิบาย: มีปัญหาการจัดทำดัชนีอาร์เรย์ในการจัดการฟังก์ชั่นในส่วนหลักของ javascript ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2018-4113: พบโดย OSS-Fuzz
WebKit
มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 และ macOS High Sierra 10.13.4
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการปฏิเสธบริการ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2018-4146: พบโดย OSS-Fuzz
WebKit
มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 และ macOS High Sierra 10.13.4
ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจถอนข้อมูลข้ามต้นทาง
คำอธิบาย: มีปัญหาข้ามต้นทางกับ API ที่ดึงข้อมูล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2018-4117: นักวิจัยนิรนามและนักวิจัยนิรนาม
WebKit
มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 และ macOS High Sierra 10.13.4
ผลกระทบ: การโต้ตอบที่ไม่คาดคิดก่อให้เกิดความล้มเหลว ASSERT
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2018-4207: พบโดย OSS-Fuzz
WebKit
มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 และ macOS High Sierra 10.13.4
ผลกระทบ: การโต้ตอบที่ไม่คาดคิดก่อให้เกิดความล้มเหลว ASSERT
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2018-4208: พบโดย OSS-Fuzz
WebKit
มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 และ macOS High Sierra 10.13.4
ผลกระทบ: การโต้ตอบที่ไม่คาดคิดก่อให้เกิดความล้มเหลว ASSERT
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2018-4209: พบโดย OSS-Fuzz
WebKit
มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 และ macOS High Sierra 10.13.4
ผลกระทบ: การโต้ตอบที่ไม่คาดคิดกับประเภทการจัดทำดัชนีก่อให้เกิดความล้มเหลว
คำอธิบาย: มีปัญหาการจัดทำดัชนีอาร์เรย์ในการจัดการฟังก์ชั่นในส่วนหลักของ javascript ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2018-4210: พบโดย OSS-Fuzz
WebKit
มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 และ macOS High Sierra 10.13.4
ผลกระทบ: การโต้ตอบที่ไม่คาดคิดก่อให้เกิดความล้มเหลว ASSERT
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2018-4212: พบโดย OSS-Fuzz
WebKit
มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 และ macOS High Sierra 10.13.4
ผลกระทบ: การโต้ตอบที่ไม่คาดคิดก่อให้เกิดความล้มเหลว ASSERT
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2018-4213: พบโดย OSS-Fuzz
WebKit
มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 และ macOS High Sierra 10.13.4
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ด
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2018-4145: พบโดย OSS-Fuzz
คำขอบคุณพิเศษ
WebKit
เราขอขอบคุณสำหรับความช่วยเหลือจาก Johnny Nipper จาก Tinder Security Team
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม