เกี่ยวกับเนื้อหาความปลอดภัยของ Safari 12
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ Safari 12
เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
Safari 12
Safari
มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจสามารถถอนข้อมูลที่ป้อนอัตโนมัติใน Safari ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2018-4307: Rafay Baloch จาก Pakistan Telecommunications Authority
Safari
มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
ผลกระทบ: ผู้ใช้อาจไม่สามารถลบรายการประวัติการเรียกดูได้
คำอธิบาย: การล้างรายการประวัติอาจไม่ล้างการเข้าชมที่มีห่วงโซ่การเปลี่ยนทาง ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการลบข้อมูลให้ดียิ่งขึ้น
CVE-2018-4329: Hugo S. Diaz (coldpointblue)
Safari
มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
ผลกระทบ: การเข้าชมเว็บไซต์ที่ประสงค์ร้ายโดยคลิกที่ลิงก์ อาจนำไปสู่การปลอมแปลงอินเทอร์เฟซผู้ใช้
คำอธิบาย: ปัญหาอินเทอร์เฟซผู้ใช้ไม่สอดคล้องได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2018-4195: xisigr จาก Xuanwu Lab ของ Tencent (www.tencent.com)
WebKit
มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดลักษณะการทำงานแบบข้ามต้นทางที่ไม่คาดคิด
คำอธิบาย: มีปัญหาข้ามต้นทางในองค์ประกอบ iframe ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการติดตามต้นทางในการรักษาความปลอดภัยให้ดียิ่งขึ้น
CVE-2018-4319: John Pettitt จาก Google
WebKit
มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
ผลกระทบ: การโต้ตอบที่ไม่คาดคิดก่อให้เกิดความล้มเหลว ASSERT
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2018-4191: พบโดย OSS-Fuzz
WebKit
มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจสามารถใช้สคริปต์ในบริบทของเว็บไซต์อื่นได้
คำอธิบาย: มีปัญหาการแฝงสคริปต์ (Cross-site Scripting) ใน Safari ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ URL ให้ดียิ่งขึ้น
CVE-2018-4309: นักวิจัยนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
WebKit
มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2018-4299: Samuel Groβ (saelo) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2018-4323: Ivan Fratric จาก Google Project Zero
CVE-2018-4328: Ivan Fratric จาก Google Project Zero
CVE-2018-4358: @phoenhex team (@bkth_ @5aelo @_niklasb) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2018-4359: Samuel Groß (@5aelo)
CVE-2018-4360: William Bowling (@wcbowling)
WebKit
มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
ผลกระทบ: ข้อผิดพลาดด้านความปลอดภัยเกี่ยวกับการข้ามต้นทางรวมถึงต้นทางของเฟรมที่เข้าถึง
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการลบข้อมูลต้นทางออก
CVE-2018-4311: Erling Alf Ellingsen (@steike)
WebKit
มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจถอนข้อมูลภาพข้ามต้นทาง
คำอธิบาย: มีปัญหาการแฝงสคริปต์ (Cross-site Scripting) ใน Safari ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ URL ให้ดียิ่งขึ้น
CVE-2018-4345: Jun Kokatsu (@shhnjk)
WebKit
มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
ผลกระทบ: การโต้ตอบที่ไม่คาดคิดก่อให้เกิดความล้มเหลว ASSERT
คำอธิบาย: ปัญหาการใช้หน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2018-4361: พบโดย OSS-Fuzz
CVE-2018-4474: พบโดย OSS-Fuzz
WebKit
มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2018-4312: Ivan Fratric จาก Google Project Zero
CVE-2018-4315: Ivan Fratric จาก Google Project Zero
CVE-2018-4197: Ivan Fratric จาก Google Project Zero
CVE-2018-4314: Ivan Fratric จาก Google Project Zero
CVE-2018-4318: Ivan Fratric จาก Google Project Zero
CVE-2018-4306: Ivan Fratric จาก Google Project Zero
CVE-2018-4317: Ivan Fratric จาก Google Project Zero
WebKit
มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2018-4316: crixer, Hanming Zhang (@4shitak4) จาก Qihoo 360 Vulcan Team
คำขอบคุณพิเศษ
WebKit
เราขอขอบคุณสำหรับความช่วยเหลือจาก Cary Hartline, Hanming Zhang จาก 360 Vuclan team, Tencent Keen Security Lab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro และ Zach Malone จาก CA Technologies
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม