Informationen zum Sicherheitsinhalt von Safari 10
In diesem Dokument wird der Sicherheitsinhalt von Safari 10 beschrieben.
Informationen zu Apple-Sicherheitsupdates
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.
Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit. Deine Kommunikation mit Apple kannst du mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.
Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.
Safari 10
Safari Reader
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12
Auswirkung: Das Aktivieren von Safari Reader auf einer in böser Absicht erstellten Webseite kann zu universellem Cross-Site-Scripting führen.
Beschreibung: Verschiedene Überprüfungsprobleme wurden durch eine verbesserte Eingabebereinigung behoben.
CVE-2016-4618: Erling Ellingsen
Safari Tabs
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12
Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu URL-Spoofing führen
Beschreibung: Bei der Verarbeitung von geöffneten Tabs lag ein Problem mit der Statusverwaltung vor. Dieses Problem wurde durch die Einführung der sitzungsbezogenen Statusverwaltung behoben.
CVE-2016-4751: Daniel Chatfield von der Monzo Bank
WebKit
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Bei der Verarbeitung von Fehlerprototypen bestand ein Analyseproblem. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.
CVE-2016-4728: Daniel Divricean
WebKit
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12
Auswirkung: Durch den Besuch einer in böser Absicht erstellten Website können vertrauliche Daten offengelegt werden
Beschreibung: Bei der Verarbeitung der Location-Variable bestand ein Problem mit Berechtigungen. Dieses Problem wurde durch zusätzliche Eigentümerschaftsüberprüfungen behoben.
CVE-2016-4758: Masato Kinugawa von Cure53
WebKit
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2016-4611: Apple
CVE-2016-4729: Apple
CVE-2016-4730: Apple
CVE-2016-4731: Apple
CVE-2016-4734: natashenka von Google Project Zero
CVE-2016-4735: André Bargull
CVE-2016-4737: Apple
CVE-2016-4759: Tongbo Luo von Palo Alto Networks
CVE-2016-4762: Zheng Huang vom Baidu Security Lab
CVE-2016-4766: Apple
CVE-2016-4767: Apple
CVE-2016-4768: ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2016-4769: Tongbo Luo von Palo Alto Networks
WebKit
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12
Auswirkung: Eine schadhafte Website kann auf Nicht-HTTP-Dienste zugreifen
Beschreibung: Durch die Unterstützung von HTTP/0.9 in Safari wurden Cross-Protocol-Angriffe auf Nicht-HTTP-Dienste mit DNS-Rebinding ermöglicht. Dieses Problem wurde behoben, indem HTTP/0.9-Antworten auf Standard-Ports eingeschränkt wurden, und durch den Abbruch der Ressourcenladevorgänge, wenn das Dokument mit einer anderen HTTP-Protokollversion geladen wurde.
CVE-2016-4760: Jordan Milne
WebKit
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Statusverwaltung behoben.
CVE-2016-4733: natashenka von Google Project Zero
CVE-2016-4765: Apple
WebKit
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12
Auswirkung: Ein Angreifer mit einer privilegierten Netzwerkposition kann den Netzwerkverkehr zu Programmen, die WKWebView mit HTTPS verwenden, abfangen und ändern
Beschreibung: Bei der Verwendung von WKWebView bestand ein Problem mit der Zertifikatsüberprüfung. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.
CVE-2016-4763: Ein anonymer Forscher
WebKit
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Statusverwaltung behoben.
CVE-2016-4764: Apple
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.