เกี่ยวกับเนื้อหาความปลอดภัยของ Safari 13.1.2
เอกสารนี้อธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ Safari 13.1.2
เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
Safari 13.1.2
Safari
มีให้สำหรับ: macOS Mojave และ macOS High Sierra และรวมอยู่ใน macOS Catalina
ผลกระทบ: การเข้าชมเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงแถบที่อยู่
คำอธิบาย: ปัญหาอินเทอร์เฟซผู้ใช้ไม่สอดคล้องได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-9942: นักวิจัยนิรนาม, Rahul d Kankrale (servicenger.com), Rayyan Bijoora (@Bijoora) จาก The City School, PAF Chapter, Ruilin Yang จาก Tencent Security Xuanwu Lab, YoKo Kho (@YoKoAcc) จาก PT Telekomunikasi Indonesia (Persero) Tbk, Zhiyang Zeng(@Wester) จาก OPPO ZIWU Security Lab
การดาวน์โหลด Safari
มีให้สำหรับ: macOS Mojave และ macOS High Sierra และรวมอยู่ใน macOS Catalina
ผลกระทบ: ภัยคุกคามที่ประสงค์ร้ายอาจสามารถเปลี่ยนที่มาของเฟรมสำหรับการดาวน์โหลดในโหมดตัวอ่าน Safari
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น
CVE-2020-9912: Nikhil Mittal (@c0d3G33k) จาก Payatu Labs (payatu.com)
การป้อนข้อมูลอัตโนมัติในการเข้าสู่ระบบของ Safari
มีให้สำหรับ: macOS Mojave และ macOS High Sierra และรวมอยู่ใน macOS Catalina
ผลกระทบ: ภัยคุกคามที่ประสงค์ร้ายอาจส่งผลให้ Safari แนะนำรหัสผ่านสำหรับโดเมนที่ไม่ถูกต้อง
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น
CVE-2020-9903: Nikhil Mittal (@c0d3G33k) จาก Payatu Labs (payatu.com)
ตัวอ่าน Safari
มีให้สำหรับ: macOS Mojave และ macOS High Sierra และรวมอยู่ใน macOS Catalina
ผลกระทบ: ปัญหาในโหมดตัวอ่าน Safari อาจทำให้ผู้โจมตีระยะไกลสามารถเลี่ยงนโยบายต้นกำเนิดเดียวกันได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น
CVE-2020-9911: Nikhil Mittal (@c0d3G33k) จาก Payatu Labs (payatu.com)
WebKit
มีให้สำหรับ: macOS Mojave และ macOS High Sierra และรวมอยู่ใน macOS Catalina
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเป็นเหตุให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2020-9894: 0011 ที่ทำงานร่วมกับ Trend Micro Zero Day Initiative
WebKit
มีให้สำหรับ: macOS Mojave และ macOS High Sierra และรวมอยู่ใน macOS Catalina
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจป้องกันไม่ให้บังคับใช้นโยบายความปลอดภัยคอนเทนต์
คำอธิบาย: มีปัญหาการเข้าถึงในนโยบายความปลอดภัยคอนเทนต์ ปัญหานี้ได้รับการแก้ไขด้วยการปรับปรุงการกำจัดการเข้าถึงให้ดียิ่งขึ้น
CVE-2020-9915: Ayoub AIT ELMOKHTAR จาก Noon
WebKit
มีให้สำหรับ: macOS Mojave และ macOS High Sierra และรวมอยู่ใน macOS Catalina
ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-9925: นักวิจัยนิรนาม
WebKit
มีให้สำหรับ: macOS Mojave และ macOS High Sierra และรวมอยู่ใน macOS Catalina
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเป็นเหตุให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2020-9893: 0011 ที่ทำงานร่วมกับ Trend Micro Zero Day Initiative
CVE-2020-9895: Wen Xu จาก SSLab, Georgia Tech
WebKit
มีให้สำหรับ: macOS Mojave และ macOS High Sierra และรวมอยู่ใน macOS Catalina
ผลกระทบ: ผู้โจมตีที่ประสงค์ร้ายที่มีความสามารถในการอ่านและการเขียนข้อมูลโดยอำเภอใจอาจสามารถบายพาสการตรวจสอบตัวชี้ได้
คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น
CVE-2020-9910: Samuel Groß จาก Google Project Zero
การโหลดหน้า WebKit
มีให้สำหรับ: macOS Mojave และ macOS High Sierra และรวมอยู่ใน macOS Catalina
ผลกระทบ: ผู้โจมตีที่ประสงค์ร้ายอาจสามารถปกปิดปลายทางของ URL ได้
คำอธิบาย: ปัญหาการเข้ารหัส Unicode ใน URL ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-9916: Rakesh Mane (@RakeshMane10)
WebKit Web Inspector
มีให้สำหรับ: macOS Mojave และ macOS High Sierra และรวมอยู่ใน macOS Catalina
ผลกระทบ: การคัดลอก URL จาก Web Inspector อาจส่งผลให้เกิดการป้อนคำสั่งได้
คำอธิบาย: มีปัญหาการป้อนคำสั่งใน Web Inspector ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงยกเลิกการใช้ให้ดียิ่งขึ้น
CVE-2020-9862: Ophir Lojkine (@lovasoa)
WebRTC
มีให้สำหรับ: macOS Mojave และ macOS High Sierra และรวมอยู่ใน macOS Catalina
ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถทำให้เกิดการล่มของฮีพผ่านสตรีม SCTP ที่สร้างขึ้นได้
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2020-6514: natashenka จาก Google Project Zero
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม