Проблеми системи безпеки, які вирішено в Safari 13.0.3

Цей документ описує вміст, пов’язаний із безпекою Safari 13.0.3.

Відомості про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми та не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски див. в статті Оновлення системи безпеки Apple.

Документи про безпеку Apple класифікують вразливості за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, див. сторінку безпеки продуктів Apple.

Safari 13.0.3

WebKit

Доступно для: macOS Mojave 10.14.6 і macOS High Sierra 10.13.6 і входить до складу macOS Catalina 10.15.1

Вплив: обробка шкідливого вебвмісту може призводити до виконання універсальних міжсайтових сценаріїв.

Опис: проблему з логікою вирішено шляхом поліпшення керування станами.

CVE-2019-8813: анонімний дослідник.

WebKit

Доступно для: macOS Mojave 10.14.6 і macOS High Sierra 10.13.6 і входить до складу macOS Catalina 10.15.1

Вплив: обробка шкідливого вебвмісту може призводити до виконання довільного коду.

Опис: декілька проблем із пошкодженням даних у пам’яті вирішено шляхом поліпшення обробки звернень до пам’яті.

CVE-2019-8782: Чолун Лі (Cheolung Lee) з відділу безпеки компанії LINE+.

CVE-2019-8783: Чолун Лі (Cheolung Lee) з відділу безпеки Graylab компанії LINE+.

CVE-2019-8808: виявлено за допомогою інструмента OSS-Fuzz.

CVE-2019-8811: Сойон Парк (Soyeon Park) із підрозділу SSLab Технологічного інституту Джорджії.

CVE-2019-8812: Цзюньдун Се (JunDong Xie) з компанії Ant-financial Light-Year Security Lab.

CVE-2019-8814: Чолун Лі (Cheolung Lee) з відділу безпеки компанії LINE+.

CVE-2019-8816: Сойон Парк (Soyeon Park) із підрозділу SSLab Технологічного інституту Джорджії.

CVE-2019-8819: Чолун Лі (Cheolung Lee) з відділу безпеки компанії LINE+.

CVE-2019-8820: Самуель Гросс (Samuel Groß) із підрозділу Google Project Zero.

CVE-2019-8821: Сергій Глазунов (Sergei Glazunov) із підрозділу Google Project Zero.

CVE-2019-8822: Сергій Глазунов (Sergei Glazunov) із підрозділу Google Project Zero.

CVE-2019-8823: Сергій Глазунов (Sergei Glazunov) із підрозділу Google Project Zero.

WebKit

Доступно для: macOS Mojave 10.14.6 і macOS High Sierra 10.13.6 і входить до складу macOS Catalina 10.15.1

Вплив: у разі відвідування шкідливого вебсайту може розкриватися історія перегляду вебсайтів.

Опис: заголовок HTTP-запиту Referer міг використовуватися для доступу до вашої історії перегляду вебсайтів. Проблему вирішено шляхом обмеження заголовка Referer для сторонніх доменів значенням домену верхнього рівня.

CVE-2019-8827: Артур Янк (Artur Janc), Кшиштоф Котович (Krzysztof Kotowicz), Лукас Вайксельбаум (Lukas Weichselbaum) і Роберто Клапіс (Roberto Clapis) із Google Security Team.

Модель процесів WebKit

Доступно для: macOS Mojave 10.14.6 і macOS High Sierra 10.13.6 і входить до складу macOS Catalina 10.15.1

Вплив: обробка шкідливого вебвмісту може призводити до виконання довільного коду.

Опис: декілька проблем із пошкодженням даних у пам’яті вирішено шляхом поліпшення обробки звернень до пам’яті.

CVE-2019-8815: фахівці Apple.

Додаткова подяка

WebKit

Дякуємо за допомогу користувачу Dlive із відділу Xuanwu Lab компанії Tencent і Цзиї Чжану (Zhiyi Zhang) із підрозділу Codesafe компанії Legendsec групи Qi'anxin.