Informationen zum Sicherheitsinhalt von Safari 10.1
In diesem Dokument wird der Sicherheitsinhalt von Safari 10.1 beschrieben.
Informationen zu Apple-Sicherheitsupdates
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.
Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit. Deine Kommunikation mit Apple kannst du mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.
Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.
Safari 10.1
CoreGraphics
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-2444: Mei Wang vom 360 GearTeam
JavaScriptCore
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Das Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2491: Apple
JavaScriptCore
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Webseite kann zu universellem Cross-Site-Scripting führen
Beschreibung: Ein Prototypenproblem wurde durch verbesserte Logik behoben.
CVE-2017-2492: lokihardt von Google Project Zero
Safari
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4
Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu URL-Spoofing führen
Beschreibung: Ein Statusverwaltungsproblem wurde behoben, indem die Texteingabe so lange deaktiviert wird, bis die Zielseite geladen ist.
CVE-2017-2376: Ein anonymer Forscher, Chris Hlady von Google Inc., Yuyang Zhou vom Tencent Security Platform Department (security.tencent.com), Muneaki Nishimura (nishimunea) von Recruit Technologies Co. Ltd., Michal Zalewski von Google Inc., ein anonymer Forscher
Safari
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4
Auswirkung: Bei der Verarbeitung von in böser Absicht erstellten Webinhalten können Authentifizierungsseiten über willkürlichen Websites angezeigt werden
Beschreibung: Bei der HTTP-Authentifizierung bestand ein Spoofing- und Denial-of-Service-Problem. Dieses Problem wurde durch eine nichtmodale Gestaltung der HTTP-Authentifizierungsseiten behoben.
CVE-2017-2389: ShenYeYinJiu von Tencent Security Response Center, TSRC
Safari
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4
Auswirkung: Der Besuch einer in böser Absicht erstellten Website durch Klicken auf einen Link kann zu UI-Spoofing führen
Beschreibung: Bei der Verarbeitung der FaceTime-Aufforderungen gab es eine Spoofing-Schwachstelle. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-2453: xisigr vom Xuanwu Lab von Tencent (www.tencent.com)
Automatisches Ausfüllen beim Login in Safari
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4
Auswirkung: Ein lokaler Benutzer kann auf gesperrte Schlüsselbundobjekte zugreifen
Beschreibung: Ein Problem mit der Verarbeitung von Schlüsselbundobjekten wurde durch eine verbesserte Verwaltung von Schlüsselbundobjekten behoben.
CVE-2017-2385: Simon Woodside von MedStack
WebKit
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4
Auswirkung: Das Ablegen eines in böser Absicht erstellten Links per Drag & Drop kann Lesezeichen-Spoofing oder die Ausführung willkürlichen Codes bewirken
Beschreibung: Beim Erstellen von Lesezeichen bestand ein Validierungsproblem. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-2378: xisigr vom Xuanwu Lab von Tencent (www.tencent.com)
WebKit
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4
Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten können Daten aus verschiedenen Quellen exfiltriert werden
Beschreibung: Ein Zugriffsproblem bei Prototypen wurde durch eine verbesserte Verarbeitung von Ausnahmen behoben.
CVE-2017-2386: André Bargull
WebKit
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-2394: Apple
CVE-2017-2396: Apple
CVE-2016-9642: Gustavo Grieco
WebKit
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2395: Apple
CVE-2017-2454: Ivan Fratric von Google Project Zero, Zheng Huang vom Baidu Security Lab in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2017-2455: Ivan Fratric von Google Project Zero
CVE-2017-2459: Ivan Fratric von Google Project Zero
CVE-2017-2460: Ivan Fratric von Google Project Zero
CVE-2017-2464: Jeonghoon Shin, natashenka von Google Project Zero
CVE-2017-2465: Zheng Huang und Wei Yuan von Baidu Security Lab
CVE-2017-2466: Ivan Fratric von Google Project Zero
CVE-2017-2468: lokihardt von Google Project Zero
CVE-2017-2469: lokihardt von Google Project Zero
CVE-2017-2470: lokihardt von Google Project Zero
CVE-2017-2476: Ivan Fratric von Google Project Zero
CVE-2017-2481: 0011 in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
WebKit
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Typenverwechslungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2415: Kai Kang vom Xuanwu Lab von Tencent (tencent.com)
WebKit
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur unerwarteten Aushebelung der Inhaltssicherheitsrichtlinie führen
Beschreibung: In der Inhaltssicherheitsrichtlinie bestand ein Zugriffsproblem. Dieses Problem wurde durch verbesserte Zugriffsbeschränkungen behoben.
CVE-2017-2419: Nicolai Grødum von Cisco Systems
WebKit
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu starker Speichernutzung führen
Beschreibung: Ein Problem mit unkontrollierter Ressourcennutzung wurde durch eine verbesserte regex-Verarbeitung behoben.
CVE-2016-9643: Gustavo Grieco
WebKit
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4
Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten kann Prozessspeicher offengelegt werden.
Beschreibung: Bei der Verarbeitung von OpenGL-Shadern kam es zur Offenlegung von Informationen. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2424: Paul Thomson (mit dem GLFuzz-Tool) aus der Multicore Programming Group, Imperial College London
WebKit
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-2433: Apple
WebKit
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4
Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten können Daten aus verschiedenen Quellen exfiltriert werden
Beschreibung: Bei der Verarbeitung von Seiten, die geladen werden, traten mehrere Überprüfungsprobleme auf. Dieses Problem wurde durch eine verbesserte Logik behoben.
CVE-2017-2364: lokihardt von Google Project Zero
WebKit
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4
Auswirkung: Eine in böser Absicht erstellte Website kann Daten von verschiedenen Quellen exfiltrieren.
Beschreibung: Bei der Verarbeitung von Seiten, die geladen werden, trat ein Überprüfungsproblem auf. Dieses Problem wurde durch eine verbesserte Logik behoben.
CVE-2017-2367: lokihardt von Google Project Zero
WebKit
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen.
Beschreibung: Bei der Verarbeitung von Frame-Objekten kam es zu einem Logikproblem. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2017-2445: lokihardt von Google Project Zero
WebKit
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Bei der Verarbeitung von Strict-Mode-Funktionen kam es zu einem Logikproblem. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2017-2446: natashenka von Google Project Zero
WebKit
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4
Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann Benutzerdaten kompromittieren
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2447: natashenka von Google Project Zero
WebKit
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2463: Kai Kang (4B5F5F4B) von Tencents Xuanwu Lab (tencent.com) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
WebKit
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Das Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2471: Ivan Fratric von Google Project Zero
WebKit
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen.
Beschreibung: Bei der Frame-Verarbeitung bestand ein Logikproblem. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2017-2475: lokihardt von Google Project Zero
WebKit
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4
Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten können Daten aus verschiedenen Quellen exfiltriert werden
Beschreibung: Bei der Verarbeitung von Elementen trat ein Überprüfungsproblem auf. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.
CVE-2017-2479: lokihardt von Google Project Zero
WebKit
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4
Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten können Daten aus verschiedenen Quellen exfiltriert werden
Beschreibung: Bei der Verarbeitung von Elementen trat ein Überprüfungsproblem auf. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.
CVE-2017-2480: lokihardt von Google Project Zero
CVE-2017-2493: lokihardt von Google Project Zero
WebKit
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4
Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu URL-Spoofing führen
Beschreibung: Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2017-2486: Ein anonymer Forscher
WebKit
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4
Auswirkung: Ein Programm kann willkürlichen Code ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2392: Max Bazaliy von Lookout
WebKit
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2457: lokihardt von Google Project Zero
WebKit
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-7071: Kai Kang (4B5F5F4B) von Tencents Xuanwu Lab (tencent.com) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
WebKit JavaScript Bindings
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4
Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten können Daten aus verschiedenen Quellen exfiltriert werden
Beschreibung: Bei der Verarbeitung von Seiten, die geladen werden, traten mehrere Überprüfungsprobleme auf. Dieses Problem wurde durch eine verbesserte Logik behoben.
CVE-2017-2442: lokihardt von Google Project Zero
WebKit Web Inspector
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4
Auswirkung: Das Schließen eines Fensters im angehaltenen Zustand im Debugger kann zu einem unerwarteten Programmabbruch führen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-2377: Vicki Pfau
WebKit Web Inspector
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-2405: Apple
Zusätzliche Danksagung
Safari
Wir möchten uns bei Flyin9 (ZhenHui Lee) für die Unterstützung bedanken.
WebKit
Wir danken Yosuke HASEGAWA von Secure Sky Technology Inc. für die Unterstützung.
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.