Informationen zum Sicherheitsinhalt von Safari 10.0.3

In diesem Dokument wird der Sicherheitsinhalt von Safari 10.0.3 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.

Weitere Informationen zur Sicherheit finden Sie auf der Seite Apple-Produktsicherheit. Ihre Kommunikation mit Apple können Sie mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Safari 10.0.3

Safari

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.3

Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann URL-Spoofing ermöglichen

Beschreibung: Ein Problem mit der Statusverwaltung in der Adressleiste wurde durch eine verbesserte URL-Verarbeitung behoben.

CVE-2017-2359: xisigr vom Xuanwu Lab von Tencent (www.tencent.com)

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.3

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann Daten von verschiedenen Quellen exfiltrieren

Beschreibung: Ein Zugriffsproblem bei Prototypen wurde durch eine verbesserte Verarbeitung von Ausnahmen behoben.

CVE-2017-2350: Gareth Heyes von Portswigger Web Security

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.3

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverarbeitung behoben.

CVE-2017-2354: Neymar vom Xuanwu Lab von Tencent (tencent.com) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-2362: Ivan Fratric von Google Project Zero

CVE-2017-2373: Ivan Fratric von Google Project Zero

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.3

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Problem mit der Speicherinitialisierung wurde durch eine verbesserte Speicherverarbeitung behoben.

CVE-2017-2355: Team Pangu und lokihardt beim PwnFest 2016

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.3

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2356: Team Pangu und lokihardt beim PwnFest 2016

CVE-2017-2369: Ivan Fratric von Google Project Zero

CVE-2017-2366: Kai Kang vom Xuanwu Lab von Tencent (tencent.com)

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.3

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann Daten von verschiedenen Quellen exfiltrieren

Beschreibung: Bei der Verarbeitung von Seiten, die geladen werden, traten mehrere Überprüfungsprobleme auf. Dieses Problem wurde durch eine verbesserte Logik behoben.

CVE-2017-2363: lokihardt von Google Project Zero

CVE-2017-2364: lokihardt von Google Project Zero

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.3

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann Daten von verschiedenen Quellen exfiltrieren

Beschreibung: Bei der Verarbeitung von Variablen trat ein Überprüfungsproblem auf. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.

CVE-2017-2365: lokihardt von Google Project Zero

Zusätzliche Danksagung

WebKit-Härtung

Wir danken Ben Gras, Kaveh Razavi, Erik Bosman, Herbert Bos und Cristiano Giuffrida von der vusec-Gruppe an der Freien Universität Amsterdam für ihre Unterstützung.