เกี่ยวกับเนื้อหาความปลอดภัยของ Safari 12

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ Safari 12

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

Safari 12

เปิดตัวเมื่อวันที่ 17 กันยายน 2018

Safari

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจสามารถถอนข้อมูลที่ป้อนอัตโนมัติใน Safari ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2018-4307: Rafay Baloch จาก Pakistan Telecommunications Authority

อัพเดทรายการเมื่อวันที่ 24 กันยายน 2018

Safari

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

ผลกระทบ: ผู้ใช้อาจไม่สามารถลบรายการประวัติการเรียกดูได้

คำอธิบาย: การล้างรายการประวัติอาจไม่ล้างการเข้าชมที่มีห่วงโซ่การเปลี่ยนทาง ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการลบข้อมูลให้ดียิ่งขึ้น

CVE-2018-4329: Hugo S. Diaz (coldpointblue)

อัพเดทรายการเมื่อวันที่ 24 กันยายน 2018

Safari

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

ผลกระทบ: การเข้าชมเว็บไซต์ที่ประสงค์ร้ายโดยคลิกที่ลิงก์ อาจนำไปสู่การปลอมแปลงอินเทอร์เฟซผู้ใช้

คำอธิบาย: ปัญหาอินเทอร์เฟซผู้ใช้ไม่สอดคล้องได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2018-4195: xisigr จาก Xuanwu Lab ของ Tencent (www.tencent.com)

อัพเดทรายการเมื่อวันที่ 24 กันยายน 2018

WebKit

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดลักษณะการทำงานแบบข้ามต้นทางที่ไม่คาดคิด

คำอธิบาย: มีปัญหาข้ามต้นทางในองค์ประกอบ iframe ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการติดตามต้นทางในการรักษาความปลอดภัยให้ดียิ่งขึ้น

CVE-2018-4319: John Pettitt จาก Google

เพิ่มรายการเมื่อวันที่ 24 กันยายน 2018

WebKit

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

ผลกระทบ: การโต้ตอบที่ไม่คาดคิดก่อให้เกิดความล้มเหลว ASSERT

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2018-4191: พบโดย OSS-Fuzz

เพิ่มรายการเมื่อวันที่ 24 กันยายน 2018

WebKit

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจสามารถใช้สคริปต์ในบริบทของเว็บไซต์อื่นได้

คำอธิบาย: มีปัญหาการแฝงสคริปต์ (Cross-site Scripting) ใน Safari ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ URL ให้ดียิ่งขึ้น

CVE-2018-4309: นักวิจัยนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 24 กันยายน 2018

WebKit

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4299: Samuel Groβ (saelo) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2018-4323: Ivan Fratric จาก Google Project Zero

CVE-2018-4328: Ivan Fratric จาก Google Project Zero

CVE-2018-4358: @phoenhex team (@bkth_ @5aelo @_niklasb) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2018-4359: Samuel Groß (@5aelo)

CVE-2018-4360: William Bowling (@wcbowling)

เพิ่มรายการเมื่อวันที่ 24 กันยายน 2018, อัพเดทเมื่อวันที่ 24 ตุลาคม 2018

WebKit

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

ผลกระทบ: ข้อผิดพลาดด้านความปลอดภัยเกี่ยวกับการข้ามต้นทางรวมถึงต้นทางของเฟรมที่เข้าถึง

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการลบข้อมูลต้นทางออก

CVE-2018-4311: Erling Alf Ellingsen (@steike)

เพิ่มรายการเมื่อวันที่ 24 กันยายน 2018

WebKit

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

ผลกระทบ: เว็บไซต์ที่เป็นอันตรายอาจถอนข้อมูลภาพข้ามต้นทาง

คำอธิบาย: มีปัญหาการแฝงสคริปต์ (Cross-site Scripting) ใน Safari ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ URL ให้ดียิ่งขึ้น

CVE-2018-4345: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 24 กันยายน 2018

WebKit

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

ผลกระทบ: การโต้ตอบที่ไม่คาดคิดก่อให้เกิดความล้มเหลว ASSERT

คำอธิบาย: ปัญหาการใช้หน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4361: พบโดย OSS-Fuzz

เพิ่มรายการเมื่อวันที่ 24 กันยายน 2018, อัพเดทเมื่อวันที่ 24 ตุลาคม 2018

WebKit

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4312: Ivan Fratric จาก Google Project Zero

CVE-2018-4315: Ivan Fratric จาก Google Project Zero

CVE-2018-4197: Ivan Fratric จาก Google Project Zero

CVE-2018-4314: Ivan Fratric จาก Google Project Zero

CVE-2018-4318: Ivan Fratric จาก Google Project Zero

CVE-2018-4306: Ivan Fratric จาก Google Project Zero

CVE-2018-4317: Ivan Fratric จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 24 กันยายน 2018

WebKit

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2018-4316: crixer, Hanming Zhang (@4shitak4) จาก Qihoo 360 Vulcan Team

เพิ่มรายการเมื่อวันที่ 24 กันยายน 2018

คำขอบคุณพิเศษ

WebKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Cary Hartline, Hanming Zhang จาก 360 Vuclan team, Tencent Keen Security Lab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro และ Zach Malone จาก CA Technologies

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: