เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
Safari 12.0.1
เปิดตัวเมื่อวันที่ 30 ตุลาคม 2018
ตัวอ่าน Safari
มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 และ macOS Mojave 10.14
ผลกระทบ: การเปิดใช้งานคุณสมบัติตัวอ่านหน้าเว็บของ Safari บนหน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ให้ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2018-4374: Ryan Pickren (ryanpickren.com)
ตัวอ่าน Safari
มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 และ macOS Mojave 10.14
ผลกระทบ: การเปิดใช้งานคุณสมบัติตัวอ่านหน้าเว็บของ Safari บนหน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ให้ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้
คำอธิบาย: มีปัญหาการแฝงสคริปต์ (Cross-site Scripting) ใน Safari ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ URL ให้ดียิ่งขึ้น
CVE-2018-4377: Ryan Pickren (ryanpickren.com)
WebKit
มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 และ macOS Mojave 10.14
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2018-4372: HyungSeok Han, DongHyeon Oh และ Sang Kil Cha จาก KAIST Softsec Lab, Korea
CVE-2018-4373: ngg, alippai, DirtYiCE, KT จาก Tresorit ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2018-4375: Yu Haiwan และ Wu Hongjun จาก Nanyang Technological University ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2018-4376: 010 ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2018-4382: lokihardt จาก Google Project Zero
CVE-2018-4386: lokihardt จาก Google Project Zero
CVE-2018-4392: zhunki จาก 360 ESG Codesafe Team
CVE-2018-4416: lokihardt จาก Google Project Zero
WebKit
มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 และ macOS Mojave 10.14
ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปฏิเสธบริการ
คำอธิบาย: ปัญหาทรัพยากรลดลงได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2018-4409: Sabri Haddouche (@pwnsdx) จาก Wire Swiss GmbH
WebKit
มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 และ macOS Mojave 10.14
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ด
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2018-4378: HyungSeok Han, DongHyeon Oh และ Sang Kil Cha จาก KAIST Softsec Lab เกาหลี, zhunki จาก 360 ESG Codesafe Team
อัพเดทรายการเมื่อวันที่ 16 พฤศจิกายน 2018
คำขอบคุณพิเศษ
Safari
เราขอขอบคุณสำหรับความช่วยเหลือจาก Yiğit Can YILMAZ (@yilmazcanyigit)
เพิ่มรายการเมื่อวันที่ 22 มกราคม 2019
ตัวอ่าน Safari
เราขอขอบคุณสำหรับความช่วยเหลือจาก Ryan Pickren (ryanpickren.com)
เพิ่มรายการเมื่อวันที่ 3 เมษายน 2019