Om sikkerhedsindholdet i Safari 11
Dette dokument indeholder en beskrivelse af sikkerhedsindholdet i Safari 11.
Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.
Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.
Safari 11
Safari
Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13
Effekt: Besøg på et skadeligt websted kan medføre manipulering med adresselinjen
Beskrivelse: Et problem med en inkonsekvent brugerflade er løst ved forbedret statusadministration.
CVE-2017-7085: xisigr fra Tencents Xuanwu Lab (tencent.com)
WebKit
Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13
Effekt: Behandling af webindhold med skadelig kode kan føre til afvikling af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2017-7081: Apple
WebKit
Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13
Effekt: Behandling af webindhold med skadelig kode kan føre til afvikling af vilkårlig kode
Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-7087: Apple
CVE-2017-7091: Wei Yuan fra Baidu Security Lab, der arbejder med Trend Micros Zero Day Initiative
CVE-2017-7092: Samuel Gro og Niklas Baumstark, der arbejder med Trend Micros Zero Day Initiative, Qixun Zhao (@S0rryMybad) fra Qihoo 360 Vulcan Team
CVE-2017-7093: Samuel Gro og Niklas Baumstark, der arbejder med Trend Micros Zero Day Initiative
CVE-2017-7094: Tim Michaud (@TimGMichaud) fra Leviathan Security Group
CVE-2017-7095: Wang Junjie, Wei Lei og Liu Yang fra Nanyang Technological University, der arbejder med Trend Micros Zero Day Initiative
CVE-2017-7096: Wei Yuan fra Baidu Security Lab
CVE-2017-7098: Felipe Freitas fra Instituto Tecnológico de Aeronáutica
CVE-2017-7099: Apple
CVE-2017-7100: Masato Kinugawa og Mario Heiderich fra Cure53
CVE-2017-7102: Wang Junjie, Wei Lei og Liu Yang fra Nanyang Technological University
CVE-2017-7104: likemeng fra Baidu Security Lab
CVE-2017-7107: Wang Junjie, Wei Lei og Liu Yang fra Nanyang Technological University
CVE-2017-7111: likemeng fra Baidu Security Lab (xlab.baidu.com), der arbejder med Trend Micros Zero Day Initiative
CVE-2017-7117: lokihardt fra Google Project Zero
CVE-2017-7120: chenqin (陈钦) fra Ant-financial Light-Year Security Lab
WebKit
Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13
Effekt: Behandling af webindhold med skadelig kode kan føre til universel scripting på tværs af websteder
Beskrivelse: Der var et logikproblem i håndteringen af den overordnede fane. Problemet er løst ved hjælp af forbedret statusadministration.
CVE-2017-7089: Anton Lopanitsyn fra ONSEC, Frans Rosén fra Detectify
WebKit
Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13
Effekt: Cookies tilhørende et domæne kan blive videresendt til et andet domæne
Beskrivelse: Der var problemer med tilladelser i forbindelse med håndteringen af cookies i browsere. Problemet blev løst, ved at der ikke længere returneres cookies fra specielle URL-adresseskemaer.
CVE-2017-7090: Apple
WebKit
Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13
Effekt: Besøg på et skadeligt websted kan medføre manipulering med adresselinjen
Beskrivelse: Et problem med en inkonsekvent brugerflade er løst ved forbedret statusadministration.
CVE-2017-7106: Oliver Paukstadt fra Thinking Objects GmbH (to.com)
WebKit
Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13
Effekt: Behandling af webindhold med skadelig kode kan føre til scriptingangreb på tværs af websteder
Beskrivelse: Politik til programbuffer kan uventet blive anvendt.
CVE-2017-7109: avlidienbrunn
WebKit
Fås til: OS X El Capitan 10.11.6 og macOS Sierra 10.12.6, macOS High Sierra 10.13
Effekt: Et skadeligt websted kan muligvis spore brugerne i funktionen Privat browser i Safari
Beskrivelse: Der var problemer med tilladelser i forbindelse med håndteringen af cookies i browsere. Problemet blev løst ved hjælp af forbedrede begrænsninger.
CVE-2017-7144: Mohammad Ghasemisharif fra UIC's BITS Lab
WebKit-lagring
Fås til: OS X El Capitan 10.11.6 og macOS Sierra 10.12.6, macOS High Sierra 10.13
Effekt: Webstedsdata kan blive bevaret efter en privat browsersession i Safari
Beskrivelse: Der var et problem med læk af oplysninger i håndteringen af data på websteder i private Safari-vinduer. Problemet blev løst med forbedret datahåndtering.
CVE-2017-7142: Rich Shawn O’Connell, en anonym programmør, en anonym programmør
Yderligere anerkendelser
WebKit
Vi vil gerne takke xisigr fra Tencents Xuanwu Lab (tencent.com) for hjælpen.
WebKit
Vi vil gerne takke Rayyan Bijoora (@Bijoora) fra The City School, PAF Chapter for hjælpen.
WebKit
Vi vil gerne takke redrain (hongyu fra 360CERT) for hjælpen.
WebKit på fuld skærm
Vi vil gerne takke xisigr fra Tencents Xuanwu Lab (tencent.com) for hjælpen.
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.