關於 Apple 保安更新
為保障顧客的安全,在完成調查並提供修補程式或更新版本之前,Apple 將不會披露、討論或確認保安問題。最近更新版本已列於 Apple 保安更新網頁。
Apple 保安文件於安全漏洞方面會儘可能參照 CVE-ID。
有關保安的詳情,請參閱 Apple 產品保安網頁。
Safari 14.1.1
2021 年 5 月 24 日發佈
WebKit
適用於:macOS Catalina 和 macOS Mojave
影響:處理惡意製作的網頁內容可能導致執行任意程式碼
說明:改進記憶體處理機制後,已解決多個記憶體損毀問題
CVE-2021-30749:匿名研究員和 SEFCOM lab, ASU 的 mipu94,與 Trend Micro Zero Day Initiative 合作
CVE-2021-30734:RET2 Systems, Inc. (@ret2systems) 的 Jack Dates,與 Trend Micro Zero Day Initiative 合作
WebKit
適用於:macOS Catalina 和 macOS Mojave
影響:處理惡意製作的網頁內容可能導致全域跨網站工序指令問題
說明:已透過改善追蹤安全性來源,解決存在 iframe 元素的跨源頭問題。
CVE-2021-30744:jsontop 的 Dan Hite
WebKit
適用於:macOS Catalina 和 macOS Mojave
影響:惡意網站可能得以存取任意伺服器上的限制傳輸埠
說明:改進限制機制後,已解決邏輯問題。
CVE-2021-30720:David Schütz (@xdavidhu)
WebKit
適用於:macOS Catalina 和 macOS Mojave
影響:惡意 app 可能得以洩漏敏感的用戶資料
說明:改進限制機制後,已解決邏輯問題。
CVE-2021-30682:Prakash (@1lastBr3ath)
2021 年 7 月 21 日更新項目
WebKit
適用於:macOS Catalina 和 macOS Mojave
影響:處理惡意製作的網頁內容可能導致執行任意程式碼
說明:改進記憶體管理機制後,已解決使用釋放後記憶體出錯問題。
CVE-2021-21779:Cisco Talos 的 Marcin Towalski
WebKit
適用於:macOS Catalina 和 macOS Mojave
影響:處理惡意製作的網頁內容可能導致全域跨網站工序指令問題
說明:改進狀態管理機制後,已解決邏輯問題
CVE-2021-30689:匿名研究員
WebKit
適用於:macOS Catalina 和 macOS Mojave
影響:處理惡意製作的網頁內容可能導致執行任意程式碼
說明:改進輸入驗證機制後,已解決整數溢位問題。
CVE-2021-30663:匿名研究員
WebRTC
適用於:macOS Catalina 和 macOS Mojave
影響:遙距攻擊者或可發起阻斷服務攻擊
說明:改進驗證機制後,已解決 null 指標取值問題。
CVE-2021-23841:Google 的 Tavis Ormandy
CVE-2021-30698:Google 的 Tavis Ormandy
特別鳴謝
WebKit
我們特此感謝 Makai Security 的 Chris Salls (@salls) 提供協助。