Проблеми системи безпеки, які вирішено в Safari 13.0.1
Цей документ перелічує проблеми системи безпеки, які вирішено в Safari 13.0.1.
Відомості про оновлення системи безпеки Apple
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми та не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски див. в статті Оновлення системи безпеки Apple.
Документи про безпеку Apple класифікують вразливості за кодами CVE-ID, коли це можливо.
Щоб отримати додаткову інформацію про безпеку, див. сторінку безпеки продуктів Apple.
Safari 13.0.1
Safari
Цільові продукти: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Вплив: відвідування шкідливих вебсайтів може призводити до підміни інтерфейсу користувача.
Опис: проблему з узгодженістю стану інтерфейсу користувача вирішено шляхом поліпшення керування станами.
CVE-2019-8654: Джуно Ім (Juno Im, @junorouse) із Theori
Service Workers
Цільові продукти: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Вплив: під час використання Service Workers може розкриватися конфіденційна історія переглядів.
Опис: цю проблему вирішено шляхом поліпшення обробки життєвого циклу Service Workers.
CVE-2019-8725: Майкл Твейт (Michael Thwaite) з Connect Medi
WebKit
Цільові продукти: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Вплив: шкідливий вебвміст може порушувати політику щодо iframe sandbox.
Опис: цю проблему вирішено завдяки поліпшенню виконання iframe sandbox.
CVE-2019-8771: Елія Штейн (Eliya Stein) із Confiant
WebKit
Цільові продукти: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Вплив: обробка шкідливого вебвмісту може призводити до виконання довільного коду.
Опис: декілька проблем із пошкодженням даних у пам’яті вирішено шляхом поліпшення обробки звернень до пам’яті.
CVE-2019-8710: виявлено за допомогою інструмента OSS-Fuzz
CVE-2019-8743: користувач zhunki з Codesafe Team (компанія Legendsec, група компаній Qi'anxin)
CVE-2019-8751: Дончжуо Чжао (Dongzhuo Zhao), що співпрацює з ADLab (компанія Venustech)
CVE-2019-8752: Дончжуо Чжао (Dongzhuo Zhao), що співпрацює з ADLab (компанія Venustech)
CVE-2019-8763: Сергій Глазунов (Sergei Glazunov) із підрозділу Google Project Zero
CVE-2019-8765: Самуель Гросс (Samuel Groß) із підрозділу Google Project Zero
CVE-2019-8766: виявлено за допомогою інструмента OSS-Fuzz
CVE-2019-8773: виявлено за допомогою інструмента OSS-Fuzz
WebKit
Цільові продукти: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Вплив: обробка шкідливого вебвмісту може призводити до виконання універсальних міжсайтових сценаріїв.
Опис: проблему з логікою вирішено шляхом поліпшення керування станами.
CVE-2019-8764: Сергій Глазунов (Sergei Glazunov) із підрозділу Google Project Zero
WebKit
Цільові продукти: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Вплив: обробка шкідливого вебвмісту може призводити до виконання універсальних міжсайтових сценаріїв.
Опис: проблему з перевіркою вирішено завдяки поліпшенню логіки.
CVE-2019-8762: Сергій Глазунов (Sergei Glazunov) із підрозділу Google Project Zero
WebKit
Цільові продукти: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Вплив: обробка шкідливого вебвмісту може призводити до виконання довільного коду.
Опис: проблему з пошкодженням даних у пам’яті вирішено завдяки поліпшенню перевірки.
CVE-2020-9932: Дончжуо Чжао (Dongzhuo Zhao), що співпрацює з ADLab (компанія Venustech)
Додаткова подяка
Safari
Дякуємо за допомогу Йігіт Кан Йілмаз (Yiğit Can YILMAZ, @yilmazcanyigit) та Чжіян Цзенг (Zhiyang Zeng, @Wester) з лабораторії кібербезпеки OPPO ZIWU.
Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.