เกี่ยวกับเนื้อหาความปลอดภัยของ Safari 12.1.2

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ Safari 12.1.2

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

Safari 12.1.2

เปิดตัวเมื่อวันที่ 22 กรกฎาคม 2019

Safari

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 และมีอยู่ใน macOS Mojave 10.14.6

ผลกระทบ: การเข้าชมเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงแถบที่อยู่

คำอธิบาย: ปัญหาอินเทอร์เฟซผู้ใช้ไม่สอดคล้องได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8670: Tsubasa FUJII (@reinforchu)

WebKit

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 และมีอยู่ใน macOS Mojave 10.14.6

ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8658: akayn ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

WebKit

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 และมีอยู่ใน macOS Mojave 10.14.6

ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้

คำอธิบาย: มีปัญหาตรรกะในการจัดการการโหลดเอกสาร ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8690: Sergei Glazunov จาก Google Project Zero

WebKit

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 และมีอยู่ใน macOS Mojave 10.14.6

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8644: G. Geshev ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2019-8666: Zongming Wang (王宗明) และ Zhe Jin (金哲) จาก Chengdu Security Response Center จาก Qihoo 360 Technology Co. Ltd.

CVE-2019-8669: akayn ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2019-8671: Apple

CVE-2019-8672: Samuel Groß จาก Google Project Zero

CVE-2019-8673: Soyeon Park และ Wen Xu จาก SSLab ที่ Georgia Tech

CVE-2019-8676: Soyeon Park และ Wen Xu จาก SSLab ที่ Georgia Tech

CVE-2019-8677: Jihui Lu จาก Tencent KeenLab

CVE-2019-8678: นักวิจัยนิรนาม, Anthony Lai (@darkfloyd1014) จาก Knownsec, Ken Wong (@wwkenwong) จาก VXRL, Jeonghoon Shin (@singi21a) จาก Theori, Johnny Yu (@straight_blast) จาก VX Browser Exploitation Group, Chris Chan (@dr4g0nfl4me) จาก VX Browser Exploitation Group, Phil Mok (@shadyhamsters) จาก VX Browser Exploitation Group, Alan Ho (@alan_h0) จาก Knownsec, Byron Wai จาก VX Browser Exploitation

CVE-2019-8679: Jihui Lu จาก Tencent KeenLab

CVE-2019-8680: Jihui Lu จาก Tencent KeenLab

CVE-2019-8681: G. Geshev ที่ทำงานร่วมกับ Trend Micro Zero Day Initiative

CVE-2019-8683: Lokihardt จาก Google Project Zero

CVE-2019-8684: Lokihardt จาก Google Project Zero

CVE-2019-8685: akayn, Dongzhuo Zhao ที่ทำงานร่วมกับ ADLab จาก Venustech, Ken Wong (@wwkenwong) จาก VXRL, Anthony Lai (@darkfloyd1014) จาก VXRL และ Eric Lung (@Khlung1) จาก VXRL

CVE-2019-8686: G. Geshev ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2019-8687: Apple

CVE-2019-8688: Insu Yun จาก SSLab ที่ Georgia Tech

CVE-2019-8689: lokihardt จาก Google Project Zero

WebKit

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 และมีอยู่ใน macOS Mojave 10.14.6

ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้

คำอธิบาย: มีปัญหาตรรกะในการจัดการการโหลดหน้าพร้อมกัน ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8649: Sergei Glazunov จาก Google Project Zero

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: