Web-браузер Apple Safari содержит уязвимость удаленного выполнения кода (CVE-2020-3868) в функции шрифтов.

Открытие вредоносной страницы в Safari может спровоцировать состояние type confusion, что приведет к повреждению памяти и предоставит потенциальную возможность выполнить код. Для эксплуатации уязвимости злоумышленнику необходимо обманом заставить пользователя посетить вредоносную web-страницу.

Проблема содержится в компоненте «Шрифты» и затрагивает версию Apple Safari 13.0.3 (15608.3.10.1.4), предварительный выпуск технологии Safari 96 (Safari 13.1, WebKit 15609.1.9.7) и WebKit GIT.

Исследователи безопасности из Cisco Talos сообщили Apple об обнаруженной уязвимости, и компания исправила проблему в версии Safari 13.0.5.

Источник: securitylab.ru