เกี่ยวกับเนื้อหาความปลอดภัยของ Safari 11.1

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ Safari 11.1

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

Safari 11.1

เปิดตัวเมื่อวันที่ 29 มีนาคม 2018

Safari

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 และ macOS High Sierra 10.13.4

ผลกระทบ: การเข้าชมเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงแถบที่อยู่

คำอธิบาย: ปัญหาอินเทอร์เฟซผู้ใช้ไม่สอดคล้องได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2018-4102: Kai Zhao จาก 3H security team

CVE-2018-4116: @littlelailo, xisigr จาก Xuanwu Lab ของ Tencent (tencent.com)

การดาวน์โหลด Safari

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 และ macOS High Sierra 10.13.4

ผลกระทบ: ในการเลือกชมเว็บแบบส่วนตัว การดาวน์โหลดบางรายการไม่ถูกลบออกจากรายการดาวน์โหลด

คำอธิบาย: มีปัญหาการรั่วไหลของข้อมูลในการจัดการรายการดาวน์โหลดในการเลือกชมเว็บแบบส่วนตัวของ Safari ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบเพิ่มเติม

CVE-2018-4186: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 2 พฤษภาคม 2018

การป้อนข้อมูลอัตโนมัติในการเข้าสู่ระบบของ Safari

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 และ macOS High Sierra 10.13.4

ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจสามารถถอนข้อมูลที่ป้อนอัตโนมัติใน Safari ได้โดยที่ผู้ใช้ไม่ได้ดำเนินการใดๆ โดยตรง

คำอธิบาย: การป้อนอัตโนมัติของ Safari เกิดขึ้นเองโดยไม่มีการดำเนินการโดยตรงจากผู้ใช้ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการวิเคราะห์พฤติกรรมการป้อนอัตโนมัติให้ดียิ่งขึ้น

CVE-2018-4137

อัพเดทรายการเมื่อวันที่ 16 พฤศจิกายน 2018

WebKit

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 และ macOS High Sierra 10.13.4

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4101: Yuan Deng จาก Ant-financial Light-Year Security Lab

CVE-2018-4114: พบโดย OSS-Fuzz

CVE-2018-4118: Jun Kokatsu (@shhnjk)

CVE-2018-4119: นักวิจัยนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2018-4120: Hanming Zhang (@4shitak4) จาก Qihoo 360 Vulcan Team

CVE-2018-4121: natashenka จาก Google Project Zero

CVE-2018-4122: WanderingGlitch จาก Zero Day Initiative ของ Trend Micro

CVE-2018-4125: WanderingGlitch จาก Zero Day Initiative ของ Trend Micro

CVE-2018-4127: นักวิจัยนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2018-4128: Zach Markley

CVE-2018-4129: likemeng จาก Baidu Security Lab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2018-4130: Omair ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2018-4161: WanderingGlitch จาก Zero Day Initiative ของ Trend Micro

CVE-2018-4162: WanderingGlitch จาก Zero Day Initiative ของ Trend Micro

CVE-2018-4163: WanderingGlitch จาก Zero Day Initiative ของ Trend Micro

CVE-2018-4165: Hanming Zhang (@4shitak4) จาก Qihoo 360 Vulcan Team

WebKit

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 และ macOS High Sierra 10.13.4

ผลกระทบ: การไปเว็บไซต์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดภัยคุกคามแบบแฝงสคริปต์ (Cross-site Scripting) ได้

คำอธิบาย: มีปัญหาการแฝงสคริปต์ (Cross-site Scripting) ใน Safari ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ URL ให้ดียิ่งขึ้น

CVE-2018-4133: Anton Lopanitsyn จาก Wallarm, Linus Särud จาก Detectify (detectify.com), Yuji Tounai จาก NTT Communications Corporation

WebKit

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 และ macOS High Sierra 10.13.4

ผลกระทบ: การโต้ตอบที่ไม่คาดคิดกับประเภทการจัดทำดัชนีส่งผลให้เกิดความล้มเหลว ASSERT

คำอธิบาย: มีปัญหาการจัดทำดัชนีอาร์เรย์ในการจัดการฟังก์ชั่นในส่วนหลักของ javascript ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2018-4113: พบโดย OSS-Fuzz

WebKit

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 และ macOS High Sierra 10.13.4

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการปฏิเสธบริการ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4146: พบโดย OSS-Fuzz

WebKit

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 และ macOS High Sierra 10.13.4

ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจถอนข้อมูลข้ามต้นทาง

คำอธิบาย: มีปัญหาข้ามต้นทางกับ API ที่ดึงข้อมูล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4117: นักวิจัยนิรนามและนักวิจัยนิรนาม

WebKit

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 และ macOS High Sierra 10.13.4

ผลกระทบ: การโต้ตอบที่ไม่คาดคิดก่อให้เกิดความล้มเหลว ASSERT

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2018-4207: พบโดย OSS-Fuzz

เพิ่มรายการเมื่อวันที่ 2 พฤษภาคม 2018

WebKit

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 และ macOS High Sierra 10.13.4

ผลกระทบ: การโต้ตอบที่ไม่คาดคิดก่อให้เกิดความล้มเหลว ASSERT

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2018-4208: พบโดย OSS-Fuzz

เพิ่มรายการเมื่อวันที่ 2 พฤษภาคม 2018

WebKit

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 และ macOS High Sierra 10.13.4

ผลกระทบ: การโต้ตอบที่ไม่คาดคิดก่อให้เกิดความล้มเหลว ASSERT

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2018-4209: พบโดย OSS-Fuzz

เพิ่มรายการเมื่อวันที่ 2 พฤษภาคม 2018

WebKit

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 และ macOS High Sierra 10.13.4

ผลกระทบ: การโต้ตอบที่ไม่คาดคิดกับประเภทการจัดทำดัชนีก่อให้เกิดความล้มเหลว

คำอธิบาย: มีปัญหาการจัดทำดัชนีอาร์เรย์ในการจัดการฟังก์ชั่นในส่วนหลักของ javascript ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2018-4210: พบโดย OSS-Fuzz

เพิ่มรายการเมื่อวันที่ 2 พฤษภาคม 2018

WebKit

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 และ macOS High Sierra 10.13.4

ผลกระทบ: การโต้ตอบที่ไม่คาดคิดก่อให้เกิดความล้มเหลว ASSERT

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2018-4212: พบโดย OSS-Fuzz

เพิ่มรายการเมื่อวันที่ 2 พฤษภาคม 2018

WebKit

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 และ macOS High Sierra 10.13.4

ผลกระทบ: การโต้ตอบที่ไม่คาดคิดก่อให้เกิดความล้มเหลว ASSERT

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2018-4213: พบโดย OSS-Fuzz

เพิ่มรายการเมื่อวันที่ 2 พฤษภาคม 2018

WebKit

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 และ macOS High Sierra 10.13.4

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ด

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4145: พบโดย OSS-Fuzz

เพิ่มรายการเมื่อวันที่ 18 ตุลาคม 2018

คำขอบคุณพิเศษ

WebKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Johnny Nipper จาก Tinder Security Team

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: