เกี่ยวกับเนื้อหาความปลอดภัยของ Safari 13.0.1

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ Safari 13.0.1

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

Safari 13.0.1

เปิดตัวเมื่อวันที่ 24 กันยายน 2019

Safari

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

ผลกระทบ: การเข้าดูเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงอินเทอร์เฟซผู้ใช้

คำอธิบาย: ปัญหาอินเทอร์เฟซผู้ใช้ไม่สอดคล้องได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8654: Juno Im (@junorouse) จาก Theori

Service Workers

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

ผลกระทบ: Service Workers อาจทำให้ประวัติการเรียกดูที่เป็นส่วนตัวรั่วไหลได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการอายุการใช้งาน Service Workers ให้ดียิ่งขึ้น

CVE-2019-8725: Michael Thwaite จาก Connect Medi

WebKit

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

ผลกระทบ: เนื้อหาเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจละเมิดนโยบาย Sandboxing ของ iframe

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการควบคุม Sandbox ของ iframe

CVE-2019-8771: Eliya Stein จาก Confiant

เพิ่มรายการเมื่อวันที่ 8 ตุลาคม 2019

WebKit

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8710: พบโดย OSS-Fuzz

CVE-2019-8743: zhunki จาก Codesafe Team จาก Legendsec ที่ Qi'anxin Group

CVE-2019-8751: Dongzhuo Zhao ที่ทำงานร่วมกับ ADLab of Venustech

CVE-2019-8752: Dongzhuo Zhao ที่ทำงานร่วมกับ ADLab of Venustech

CVE-2019-8763: Sergei Glazunov จาก Google Project Zero

CVE-2019-8765: Samuel Groß จาก Google Project Zero

CVE-2019-8766: พบโดย OSS-Fuzz

CVE-2019-8773: พบโดย OSS-Fuzz

เพิ่มเมื่อวันที่ 8 ตุลาคม 2019, อัพเดทรายการเมื่อวันที่ 29 ตุลาคม 2019

WebKit

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8764: Sergei Glazunov จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

WebKit

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น

CVE-2019-8762: Sergei Glazunov จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 18 พฤศจิกายน 2019

คำขอบคุณพิเศษ

Safari

เราขอขอบคุณสำหรับความช่วยเหลือจาก Yiğit Can YILMAZ (@yilmazcanyigit) จาก TurkishKit

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: