Informationen zum Sicherheitsinhalt von Safari 11

In diesem Dokument wird der Sicherheitsinhalt von Safari 11 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.

Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Apple-Produktsicherheit. Ihre Kommunikation mit Apple können Sie mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Safari 11

Safari

Verfügbar für: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 und macOS High Sierra 10.13

Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu URL-Spoofing führen

Beschreibung: Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-7085: xisigr vom Xuanwu Lab von Tencent (www.tencent.com)

WebKit

Verfügbar für: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 und macOS High Sierra 10.13

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-7081: Apple

WebKit

Verfügbar für: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 und macOS High Sierra 10.13

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7087: Apple

CVE-2017-7091: Wei Yuan vom Baidu Security Lab in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-7092: Samuel Gro und Niklas Baumstark in Zusammenarbeit mit der Zero Day Initiative von Trend Micro, Qixun Zhao (@S0rryMybad) vom Qihoo 360 Vulcan Team

CVE-2017-7093: Samuel Groß und Niklas Baumstark in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-7094: Tim Michaud (@TimGMichaud) von der Leviathan Security Group

CVE-2017-7095: Wang Junjie, Wei Lei und Liu Yang von der Nanyang Technological University in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-7096: Wei Yuan vom Baidu Security Lab

CVE-2017-7098: Felipe Freitas vom Instituto Tecnológico de Aeronáutica

CVE-2017-7099: Apple

CVE-2017-7100: Masato Kinugawa und Mario Heiderich von Cure53

CVE-2017-7102: Wang Junjie, Wei Lei und Liu Yang von der Nanyang Technological University

CVE-2017-7104: likemeng vom Baidu Secutity Lab

CVE-2017-7107: Wang Junjie, Wei Lei und Liu Yang von der Nanyang Technological University

CVE-2017-7111: likemeng vom Baidu Security Lab (xlab.baidu.com) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-7117: lokihardt von Google Project Zero

CVE-2017-7120: chenqin (陈钦) vom Ant-financial Light-Year Security Lab

WebKit

Verfügbar für: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 und macOS High Sierra 10.13

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen

Beschreibung: Bei der Verarbeitung des übergeordneten Tabs trat ein Logikproblem auf. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-7089: Anton Lopanitsyn von ONSEC, Frans Rosén von Detectify

WebKit

Verfügbar für: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 und macOS High Sierra 10.13

Auswirkung: Cookies von einer Quelle können an eine andere Quelle gesendet werden

Beschreibung: Bei der Verarbeitung von Cookies im Webbrowser trat ein Problem mit den Berechtigungen auf. Dieses Problem wurde behoben, indem keine Cookies für benutzerdefinierte URL-Schemata mehr zurückgegeben werden.

CVE-2017-7090: Apple

WebKit

Verfügbar für: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 und macOS High Sierra 10.13

Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu URL-Spoofing führen

Beschreibung: Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-7106: Oliver Paukstadt von Thinking Objects GmbH (to.com)

WebKit

Verfügbar für: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 und macOS High Sierra 10.13

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem Cross-Site-Scripting-Angriff führen

Beschreibung: Die Anwendungscache-Richtlinie wird möglicherweise unerwartet angewendet.

CVE-2017-7109: avlidienbrunn

WebKit

Verfügbar für: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 und macOS High Sierra 10.13

Auswirkung: Eine schadhafte Website kann Benutzer in Safari nachverfolgen, wenn der Modus "Privates Surfen" aktiviert ist

Beschreibung: Bei der Verarbeitung von Cookies im Webbrowser trat ein Problem mit den Berechtigungen auf. Dieses Problem wurde durch verbesserte Beschränkungen behoben.

CVE-2017-7144: Mohammad Ghasemisharif vom UIC-BITS-Lab

WebKit-Speicher

Verfügbar für: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 und macOS High Sierra 10.13

Auswirkung: Die Websitedaten können nach einer privaten Safari-Sitzung vorhanden bleiben

Beschreibung: Ein Problem mit der Preisgabe von Informationen trat bei der Verarbeitung von Websitedaten in privaten Safari-Fenstern auf. Dieses Problem wurde durch eine verbesserte Datenverarbeitung behoben.

CVE-2017-7142: Rich Shawn O'Connell, ein anonymer Forscher, ein anonymer Forscher

Zusätzliche Danksagung

WebKit

Wir möchten uns bei xisigr vom Xuanwu Lab von Tencent (tencent.com) für die Unterstützung bedanken.

WebKit

Wir danken Rayyan Bijoora (@Bijoora) von The City School, PAF Chapter für die Unterstützung.

WebKit

Wir danken redrain (hongyu von 360CERT) für die Unterstützung.

WebKit-Vollbild

Wir danken xisigr vom Xuanwu Lab von Tencent (tencent.com) für die Unterstützung.