Informationen zum Sicherheitsinhalt von Safari 10.1.2

In diesem Dokument wird der Sicherheitsinhalt von Safari 10.1.2 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.

Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Apple-Produktsicherheit. Ihre Kommunikation mit Apple können Sie mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Safari 10.1.2

Veröffentlicht am 19. Juli 2017

Drucken in Safari

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.6

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einer unendlichen Anzahl von Drucken-Dialogfeldern führen

Beschreibung: Es bestand ein Problem, bei dem eine schadhafte oder gefährdete Website unendlich viele Drucken-Dialogfelder anzeigen konnte und den Benutzer glauben ließ, der Browser sei gesperrt. Dieses Problem wurde durch eine Beschränkung von Drucken-Dialogfeldern behoben.

CVE-2017-7060: Travis Kelley aus Mishawaka, Indiana

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.6

Auswirkung: Eine in böser Absicht erstellte Website kann Daten von verschiedenen Quellen exfiltrieren.

Beschreibung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten kann zugelassen werden, dass Daten von verschiedenen Quellen durch SVG-Filter exfiltriert werden, um einen Timing-Nebenkanal-Angriff durchzuführen. Das Problem wurde behoben, indem der Puffer aus verschiedenen Quellen nicht in den Frame übertragen wird, der gefiltert wird.

CVE-2017-7006: David Kohlbrenner von der UC San Diego, ein anonymer Forscher

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.6

Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu URL-Spoofing führen.

Beschreibung: Ein Problem mit der Statusverwaltung wurde durch verbesserte Frame-Verarbeitung behoben.

CVE-2017-7011: xisigr vom Xuanwu Lab von Tencent (www.tencent.com)

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.6

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7018: lokihardt von Google Project Zero

CVE-2017-7020: likemeng vom Baidu Security Lab

CVE-2017-7030: chenqin vom Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)

CVE-2017-7034: chenqin vom Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)

CVE-2017-7037: lokihardt von Google Project Zero

CVE-2017-7039: Ivan Fratric von Google Project Zero

CVE-2017-7040: Ivan Fratric von Google Project Zero

CVE-2017-7041: Ivan Fratric von Google Project Zero

CVE-2017-7042: Ivan Fratric von Google Project Zero

CVE-2017-7043: Ivan Fratric von Google Project Zero

CVE-2017-7046: Ivan Fratric von Google Project Zero

CVE-2017-7048: Ivan Fratric von Google Project Zero

CVE-2017-7052: cc in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-7055: Britisches National Cyber Security Centre (NCSC)

CVE-2017-7056: lokihardt von Google Project Zero

CVE-2017-7061: lokihardt von Google Project Zero

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.6

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten mit DOMParser kann zu Cross-Site-Scripting führen

Beschreibung: Bei der Verarbeitung von DOMParser trat ein Logikproblem auf. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-7038: Egor Karbutov (@ShikariSenpai) von Digital Security und Egor Saltykov (@ansjdnakjdnajkd) von Digital Security, Neil Jenkins von FastMail Pty Ltd

CVE-2017-7059: Masato Kinugawa und Mario Heiderich von Cure53

Eintrag aktualisiert am 28. Juli 2017

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.6

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7049: Ivan Fratric von Google Project Zero

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.6

Auswirkung: Ein Programm kann beschränkten Speicher lesen

Beschreibung: Ein Problem mit der Speicherinitialisierung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7064: lokihardt von Google Project Zero

Laden von WebKit-Seiten

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.6

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7019: Zhiyang Zeng vom Tencent Security Platform Department

WebKit Web Inspector

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.6

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7012: Apple

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: