Safari 12.1'in güvenlik içeriği hakkında
Bu belgede, Safari 12.1'in güvenlik içeriği açıklanmaktadır.
Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.
Safari 12.1
Safari Okuyucu
İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 ve macOS Mojave 10.14.4
Etki: Kötü amaçlarla oluşturulmuş bir web sayfasında Safari Okuyucu özelliğinin etkinleştirilmesi evrensel siteler arası betik kullanımına neden olabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.
CVE-2019-6204: Ryan Pickren (ryanpickren.com)
CVE-2019-8505: Ryan Pickren (ryanpickren.com)
WebKit
İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 ve macOS Mojave 10.14.4
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.
CVE-2019-8506: Google Project Zero'dan Samuel Groß
WebKit
İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 ve macOS Mojave 10.14.4
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-8535: Tencent Blade Team'den Zhiyang Zeng (@Wester)
WebKit
İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 ve macOS Mojave 10.14.4
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek birden fazla bellek bozulması sorunu giderildi.
CVE-2019-6201: Venustech ADLab'den dwfault
CVE-2019-8518: Google Project Zero'dan Samuel Groß
CVE-2019-8523: Apple
CVE-2019-8524: G. Geshev (Trend Micro'nun Zero Day Initiative programıyla)
CVE-2019-8558: Google Project Zero'dan Samuel Groß
CVE-2019-8559: Apple
CVE-2019-8563: Apple
CVE-2019-8638: OSS-Fuzz tarafından bulundu
CVE-2019-8639: OSS-Fuzz tarafından bulundu
WebKit
İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 ve macOS Mojave 10.14.4
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-8536: Apple
CVE-2019-8544: anonim bir araştırmacı
WebKit
İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 ve macOS Mojave 10.14.4
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, gizli kullanıcı bilgilerini açığa çıkarabilir
Açıklama: Fetch API'sinde kaynaklar arası veri sızdırma sorunu (cross-origin issue) vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2019-8515: James Lee (@Windowsrcer)
WebKit
İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 ve macOS Mojave 10.14.4
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2019-7285: Venustech ADLab'den dwfault
CVE-2019-8556: Apple
WebKit
İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 ve macOS Mojave 10.14.4
Etki: Kötü amaçlı bir web sitesi, farklı bir web sitesi bağlamında betik yürütebilir
Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.
CVE-2019-8503: Detectify'dan Linus Särud
WebKit
İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 ve macOS Mojave 10.14.4
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Mantık iyileştirilerek bir doğrulama sorunu giderildi.
CVE-2019-7292: 360 ESG Codesafe Team'den Zhunki ve Zhiyi Zhang
WebKit
İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 ve macOS Mojave 10.14.4
Etki: Korumalı alandaki bir işlem, korumalı alan sınırlamalarını atlayabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-8562: Georgia Tech SSLab'den Wen Xu ve Chaitin Security Research Lab'den Hanqing Zhao
WebKit
İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 ve macOS Mojave 10.14.4
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası evrensel betik kullanımına neden olabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.
CVE-2019-8551: Ryan Pickren (ryanpickren.com)
Ek teşekkür listesi
Safari
Payatu Labs'den (payatu.com) Ryan Pickren'e (ryanpickren.com) ve Nikhil Mittal'a (@c0d3G33k) yardımları için teşekkür ederiz.
WebKit
Yandex Security Team'den Andrey Kovalev'e yardımı için teşekkür ederiz.
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.