Über den Sicherheitsinhalt von Safari 13.1

Dieses Dokument beschreibt den Sicherheitsinhalt von Safari 13.1.

Über Apple-Sicherheitsupdates

Zum Schutz unserer Kunden offenbart, diskutiert oder bestätigt Apple keine Sicherheitsprobleme, bis eine Untersuchung durchgeführt wurde und Patches oder Versionen verfügbar sind. Aktuelle Versionen sind auf der Apple-Seite für Sicherheitsupdates aufgeführt.

Apple-Sicherheitsdokumente verweisen wenn möglich auf Schwachstellen per CVE-ID .

Weitere Informationen zur Sicherheit finden Sie auf der Seite Apple-Produktsicherheit .

Safari 13.1

Veröffentlicht am 24. März 2020

Safari-Downloads

Verfügbar für: macOS Mojave und macOS High Sierra und in macOS Catalina enthalten

Auswirkung: Ein bösartiger Iframe kann die Download-Einstellungen einer anderen Website verwenden

Beschreibung: Ein Logikproblem wurde mit verbesserten Einschränkungen behoben.

CVE-2020-9784: Ruilin Yang vom Tencent Security Xuanwu Lab, Ryan Pickren (ryanpickren.com)

WebKit

Verfügbar für: macOS Mojave und macOS High Sierra und in macOS Catalina enthalten

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Typverwechslungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2020-3901: Benjamin Randazzo (@____benjamin)

WebKit

Verfügbar für: macOS Mojave und macOS High Sierra und in macOS Catalina enthalten

Auswirkung: Der Ursprung eines Downloads wird möglicherweise falsch zugeordnet

Beschreibung: Ein Logikproblem wurde mit verbesserten Einschränkungen behoben.

CVE-2020-3887: Ryan Pickren (ryanpickren.com)

WebKit

Verfügbar für: macOS Mojave und macOS High Sierra und in macOS Catalina enthalten

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherbeschädigungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2020-3895: Grigoritchi

CVE-2020-3900: Dongzhuo Zhao arbeitet mit ADLab von Venustech

WebKit

Verfügbar für: macOS Mojave und macOS High Sierra und in macOS Catalina enthalten

Auswirkung: Eine Anwendung kann eingeschränkten Speicher lesen

Beschreibung: Eine Racebedingung wurde mit zusätzlicher Validierung behoben.

CVE-2020-3894: Sergei Glazunov von Google Project Zero

WebKit

Verfügbar für: macOS Mojave und macOS High Sierra und in macOS Catalina enthalten

Auswirkung: Ein entfernter Angreifer kann möglicherweise die Ausführung willkürlichen Codes verursachen

Beschreibung: Ein Typverwechslungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2020-3897: Brendan Draper (@6r3nd4n) arbeitet mit der Zero Day Initiative von Trend Micro zusammen

WebKit

Verfügbar für: macOS Mojave und macOS High Sierra und in macOS Catalina enthalten

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Codeausführung führen

Beschreibung: Ein Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2020-9783: Apple

WebKit

Verfügbar für: macOS Mojave und macOS High Sierra und in macOS Catalina enthalten

Auswirkung: Ein entfernter Angreifer kann möglicherweise die Ausführung willkürlichen Codes verursachen

Beschreibung: Ein Speicherverbrauchsproblem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2020-3899: gefunden von OSS-Fuzz

WebKit

Verfügbar für: macOS Mojave und macOS High Sierra und in macOS Catalina enthalten

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem Cross-Site-Scripting-Angriff führen

Beschreibung: Ein Problem mit der Eingabevalidierung wurde durch eine verbesserte Eingabevalidierung behoben.

CVE-2020-3902: Yiğit Can YILMAZ (@yilmazcanyigit)

Laden der WebKit-Seite

Verfügbar für: macOS Mojave und macOS High Sierra und in macOS Catalina enthalten

Auswirkung: Eine Datei-URL wird möglicherweise falsch verarbeitet

Beschreibung: Ein Logikproblem wurde mit verbesserten Einschränkungen behoben.

CVE-2020-3885: Ryan Pickren (ryanpickren.com)

Zusätzliche Anerkennung

Safari

Wir danken Dlive von Tencent Security Xuanwu Lab, Jacek Kolodziej von Procter & Gamble und Justin Taft von One Up Security, LLC für ihre Unterstützung.

Safari-Erweiterungen

Wir möchten Jeff Johnson von underpassapp.com für seine Unterstützung danken.

Safari-Reader

Wir möchten Nikhil Mittal (@c0d3G33k) von Payatu Labs (payatu.com) für seine Unterstützung danken.

WebKit

Wir danken Emilio Cobos Álvarez von Mozilla, Samuel Groß von Google Project Zero und den Hörern für ihre Unterstützung.

Eintrag aktualisiert am 4. April 2020

Informationen über Produkte, die nicht von Apple hergestellt wurden, oder unabhängige Websites, die nicht von Apple kontrolliert oder getestet wurden, werden ohne Empfehlung oder Billigung bereitgestellt. Apple übernimmt keine Verantwortung in Bezug auf die Auswahl, Leistung oder Verwendung von Websites oder Produkten von Drittanbietern. Apple macht keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit von Websites Dritter. Wenden Sie sich an den Anbieter , um weitere Informationen zu erhalten.