เกี่ยวกับเนื้อหาความปลอดภัยของ Safari 12.1

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ Safari 12.1

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

Safari 12.1

เปิดตัวเมื่อวันที่ 25 มีนาคม 2019

ตัวอ่าน Safari

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 และ Mojave 10.14.4

ผลกระทบ: การเปิดใช้งานคุณสมบัติตัวอ่านหน้าเว็บของ Safari บนหน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ให้ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-6204: Ryan Pickren (ryanpickren.com)

CVE-2019-8505: Ryan Pickren (ryanpickren.com)

WebKit

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 และ Mojave 10.14.4

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8506: Samuel Groß จาก Google Project Zero

WebKit

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 และ Mojave 10.14.4

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8535: Zhiyang Zeng (@Wester) จาก Tencent Blade Team

WebKit

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 และ Mojave 10.14.4

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-6201: dwfault ที่ทำงานร่วมกับ ADLab จาก Venustech

CVE-2019-8518: Samuel Groß จาก Google Project Zero

CVE-2019-8523: Apple

CVE-2019-8524: G. Geshev ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2019-8558: Samuel Groß จาก Google Project Zero

CVE-2019-8559: Apple

CVE-2019-8563: Apple

CVE-2019-8638: ค้นพบโดย OSS-Fuzz

CVE-2019-8639: ค้นพบโดย OSS-Fuzz

อัพเดทรายการเมื่อวันที่ 30 พฤษภาคม 2019

WebKit

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 และ Mojave 10.14.4

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8536: Apple

CVE-2019-8544: นักวิจัยนิรนาม

WebKit

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 และ Mojave 10.14.4

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยข้อมูลสำคัญของผู้ใช้ได้

คำอธิบาย: มีปัญหาข้ามต้นทางกับ API ที่ดึงข้อมูล ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8515: James Lee (@Windowsrcer)

WebKit

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 และ Mojave 10.14.4

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-7285: dwfault ที่ทำงานที่ ADLab ของ Venustech

CVE-2019-8556: Apple

WebKit

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 และ Mojave 10.14.4

ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจสามารถใช้สคริปต์ในบริบทของเว็บไซต์อื่นได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-8503: Linus Särud จาก Detectify

WebKit

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 และ Mojave 10.14.4

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น

CVE-2019-7292: Zhunki และ Zhiyi Zhang จาก 360 ESG Codesafe Team

WebKit

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 และ Mojave 10.14.4

ผลกระทบ: กระบวนการที่ถูกวางอยู่ใน Sandbox อาจสามารถหลีกเลี่ยงข้อจำกัดของ Sandbox ได้

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-8562: Wen Xu จาก SSLab ที่ Georgia Tech และ Hanqing Zhao จาก Chaitin Security Research Lab

WebKit

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 และ Mojave 10.14.4

ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-8551: Ryan Pickren (ryanpickren.com)

คำขอบคุณพิเศษ

Safari

เราขอขอบคุณสำหรับความช่วยเหลือจาก Ryan Pickren (ryanpickren.com) และ Nikhil Mittal (@c0d3G33k) จาก Payatu Labs (payatu.com)

อัพเดทรายการเมื่อวันที่ 30 พฤษภาคม 2019

WebKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Andrey Kovalev จาก Yandex Security Team

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: