關於 Safari 12 的安全性內容

為保障客戶的安全，Apple 在進行調查並提供修補程式或版本之前，不會揭露、討論或確認安全性問題。最新版本列於「Apple 安全性更新」頁面上。

如需安全性的詳細資訊，請參閱 Apple 產品安全性頁面。您可以使用 Apple 產品安全性 PGP 金鑰來加密與 Apple 的通訊。

Apple 安全性文件會盡可能以 CVE-ID 參照安全漏洞。

2018 年 9 月 17 日發行

Safari

適用於：macOS Sierra 10.12.6、macOS High Sierra 10.13.6、macOS Mojave 10.14

影響：惡意網站可能可以洩漏在 Safari 中自動填寫的資料

說明：改進狀態管理機制後，已解決邏輯問題。

CVE-2018-4307：Pakistan Telecommunications Authority 的 Rafay Baloch

2018 年 9 月 24 日更新項目

Safari

適用於：macOS Sierra 10.12.6、macOS High Sierra 10.13.6、macOS Mojave 10.14

影響：使用者可能無法刪除瀏覽記錄項目

說明：清除記錄項目可能無法清除具有重新導向鏈的瀏覽記錄。改進資料刪除機制後，已解決此問題。

CVE-2018-4329：Hugo S. Diaz（coldpointblue）

2018 年 9 月 24 日更新項目

Safari

適用於：macOS Sierra 10.12.6、macOS High Sierra 10.13.6、macOS Mojave 10.14

影響：點按連結參訪惡意製作的網站可能導致使用者介面詐騙攻擊

說明：改進狀態管理機制後，已解決不一致使用者介面問題。

CVE-2018-4195：騰訊玄武實驗室（www.tencent.com）的 xisigr

2018 年 9 月 24 日更新項目

WebKit

適用於：macOS Sierra 10.12.6、macOS High Sierra 10.13.6、macOS Mojave 10.14

影響：惡意網站可能造成意外的跨來源行為

說明：iframe 元素有跨來源問題。改進安全來源的追蹤機制後，已解決此問題。

CVE-2018-4319：Google 的 John Pettitt

2018 年 9 月 24 日新增項目

WebKit

適用於：macOS Sierra 10.12.6、macOS High Sierra 10.13.6、macOS Mojave 10.14

影響：非預期的互動導致 ASSERT 失敗

說明：改進驗證機制後，已解決記憶體損毀問題。

CVE-2018-4191：OSS-Fuzz 發現

2018 年 9 月 24 日新增項目

WebKit

適用於：macOS Sierra 10.12.6、macOS High Sierra 10.13.6、macOS Mojave 10.14

影響：惡意網站可能可以在另一個網站的環境中執行工序指令

說明：Safari 出現跨網站工序指令攻擊問題。改進 URL 驗證機制後，已解決此問題。

CVE-2018-4309：匿名研究員（與趨勢科技的 Zero Day Initiative 計劃合作）

2018 年 9 月 24 日新增項目

WebKit

適用於：macOS Sierra 10.12.6、macOS High Sierra 10.13.6、macOS Mojave 10.14

影響：處理惡意製作的網頁內容可能導致執行任意程式碼

說明：改進記憶體處理機制後，已解決多個記憶體損毀問題。

CVE-2018-4299：與趨勢科技的 Zero Day Initiative 計劃合作的 Samuel Groβ（saelo）

CVE-2018-4323：Google Project Zero 的 Ivan Fratric

CVE-2018-4328：Google Project Zero 的 Ivan Fratric

CVE-2018-4358：與趨勢科技的 Zero Day Initiative 計劃合作的 @phoenhex team（@bkth_、@5aelo、@_niklasb）

CVE-2018-4359：Samuel Groß（@5aelo）

CVE-2018-4360：William Bowling（@wcbowling）

2018 年 9 月 24 日新增項目，2018 年 10 月 24 日更新

WebKit

適用於：macOS Sierra 10.12.6、macOS High Sierra 10.13.6、macOS Mojave 10.14

影響：跨來源 SecurityErrors 包括已存取框架的來源

說明：移除來源資訊後，已解決此問題。

CVE-2018-4311：Erling Alf Ellingsen（@steike）

2018 年 9 月 24 日新增項目

WebKit

適用於：macOS Sierra 10.12.6、macOS High Sierra 10.13.6、macOS Mojave 10.14

影響：惡意網站可能會跨來源洩漏影像資料

說明：Safari 出現跨網站工序指令攻擊問題。改進 URL 驗證機制後，已解決此問題。

CVE-2018-4345：Jun Kokatsu（@shhnjk）

2018 年 9 月 24 日新增項目，2018 年 12 月 18 日更新

WebKit

適用於：macOS Sierra 10.12.6、macOS High Sierra 10.13.6、macOS Mojave 10.14

影響：非預期的互動導致 ASSERT 失敗

說明：改進記憶體處理機制後，已解決記憶體耗用問題。

CVE-2018-4361：OSS-Fuzz 發現

CVE-2018-4474：OSS-Fuzz 發現

2018 年 9 月 24 日新增項目，2019 年 1 月 22 日更新

WebKit

適用於：macOS Sierra 10.12.6、macOS High Sierra 10.13.6、macOS Mojave 10.14

影響：處理惡意製作的網頁內容可能導致執行任意程式碼

說明：改進記憶體管理機制後，已解決「使用釋放後記憶體出錯」問題。

CVE-2018-4312：Google Project Zero 的 Ivan Fratric

CVE-2018-4315：Google Project Zero 的 Ivan Fratric

CVE-2018-4197：Google Project Zero 的 Ivan Fratric

CVE-2018-4314：Google Project Zero 的 Ivan Fratric

CVE-2018-4318：Google Project Zero 的 Ivan Fratric

CVE-2018-4306：Google Project Zero 的 Ivan Fratric

CVE-2018-4317：Google Project Zero 的 Ivan Fratric

2018 年 9 月 24 日新增項目

WebKit

適用於：macOS Sierra 10.12.6、macOS High Sierra 10.13.6、macOS Mojave 10.14

影響：處理惡意製作的網頁內容可能導致執行任意程式碼

說明：改進狀態管理機制後，已解決記憶體損毀問題。

CVE-2018-4316：crixer、奇虎 360 Vulcan Team 的 Hanming Zhang（@4shitak4）

2018 年 9 月 24 日新增項目

WebKit

我們要感謝 Cary Hartline、360 Vulcan Team 的 Hanming Zhang、Tencent Keen Security Lab（與趨勢科技的 Zero Day Initiative 計劃合作）以及 CA Technologies 的 Zach Malone 提供協助。