Проблеми системи безпеки, які усунено в Safari 14.1.1
У цьому документі описано проблеми системи безпеки, які усунено в Safari 14.1.1.
Про оновлення системи безпеки Apple
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми та не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски див. в статті Оновлення системи безпеки Apple.
У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.
Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.
Safari 14.1.1
WebKit
Цільові продукти: macOS Catalina та macOS Mojave
Вплив: обробка шкідливого вебконтенту може призводити до виконання довільного коду.
Опис: декілька проблем із пошкодженням даних у пам’яті усунено завдяки поліпшенню обробки звернень до пам’яті.
CVE-2021-30749: анонімний дослідник і користувач mipu94 з лабораторії SEFCOM (Університет штату Аризона), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative
CVE-2021-30734: Джек Дейтс (Jack Dates) з RET2 Systems, Inc. (@ret2systems), що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative
WebKit
Цільові продукти: macOS Catalina та macOS Mojave
Вплив: обробка шкідливого вебконтенту може призводити до виконання універсальних міжсайтових сценаріїв.
Опис: вирішено проблему з перехресними джерелами елементів iframe через поліпшення відстеження джерел безпеки.
CVE-2021-30744: Ден Хайт (Dan Hite) з jsontop
WebKit
Цільові продукти: macOS Catalina та macOS Mojave
Вплив: зловмисний вебсайт може мати доступ до портів з обмеженим доступом на довільних серверах.
Опис: проблему з логікою вирішено завдяки поліпшенню обмежень.
CVE-2021-30720: Девід Шютц (David Schütz, @xdavidhu)
WebKit
Цільові продукти: macOS Catalina та macOS Mojave
Вплив: шкідлива програма може ініціювати витік конфіденційної інформації про користувача.
Опис: проблему з логікою вирішено завдяки поліпшенню обмежень.
CVE-2021-30682: Prakash (@1lastBr3ath)
WebKit
Цільові продукти: macOS Catalina та macOS Mojave
Вплив: обробка шкідливого вебконтенту може призводити до виконання довільного коду.
Опис: покращене керування пам’яттю усунуло проблему Use-After-Free.
CVE-2021-21779: Марчін Товальські (Marcin Towalski) із Cisco Talos
WebKit
Цільові продукти: macOS Catalina та macOS Mojave
Вплив: обробка шкідливого вебконтенту може призводити до виконання універсальних міжсайтових сценаріїв.
Опис: проблему з логікою усунено завдяки поліпшенню керування станами.
CVE-2021-30689: анонімний дослідник
WebKit
Цільові продукти: macOS Catalina та macOS Mojave
Вплив: обробка шкідливого вебконтенту може призводити до виконання довільного коду.
Опис: проблему цілочисельного переповнення вирішено завдяки вдосконаленню перевірки вводу.
CVE-2021-30663: анонімний дослідник
WebRTC
Цільові продукти: macOS Catalina та macOS Mojave
Вплив: зловмисник може віддалено спричинити відмову в обслуговуванні.
Опис: проблему розіменування нульового покажчика вирішено через поліпшення перевірки вводу.
CVE-2021-23841: Тавіс Орманді (Tavis Ormandy) з Google
CVE-2021-30698: Тавіс Орманді (Tavis Ormandy) з Google
Додаткова подяка
WebKit
Дякуємо за допомогу Крісу Солсу (Chris Salls, @salls) з Makai Security.
Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.