Informationen zum Sicherheitsinhalt von Safari 10.1

In diesem Dokument wird der Sicherheitsinhalt von Safari 10.1 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.

Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Apple-Produktsicherheit. Ihre Kommunikation mit Apple können Sie mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Safari 10.1

Veröffentlicht am 27. März 2017

CoreGraphics

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2444: Mei Wang vom 360 GearTeam

JavaScriptCore

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Das Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2491: Apple

Eintrag hinzugefügt am 2. Mai 2017

JavaScriptCore

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Webseite kann zu universellem Cross-Site-Scripting führen

Beschreibung: Ein Prototypenproblem wurde durch verbesserte Logik behoben.

CVE-2017-2492: lokihardt von Google Project Zero

Eintrag am 24. April 2017 aktualisiert

Safari

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu URL-Spoofing führen

Beschreibung: Ein Statusverwaltungsproblem wurde behoben, indem die Texteingabe so lange deaktiviert wird, bis die Zielseite geladen ist.

CVE-2017-2376: Ein anonymer Forscher, Chris Hlady von Google Inc., Yuyang Zhou vom Tencent Security Platform Department (security.tencent.com), Muneaki Nishimura (nishimunea) von Recruit Technologies Co. Ltd., Michal Zalewski von Google Inc., ein anonymer Forscher

Safari

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Bei der Verarbeitung von in böser Absicht erstellten Webinhalten können Authentifizierungsseiten über willkürlichen Websites angezeigt werden

Beschreibung: Bei der HTTP-Authentifizierung bestand ein Spoofing- und Denial-of-Service-Problem. Dieses Problem wurde durch eine nichtmodale Gestaltung der HTTP-Authentifizierungsseiten behoben.

CVE-2017-2389: ShenYeYinJiu von Tencent Security Response Center, TSRC

Safari

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Der Besuch einer in böser Absicht erstellten Website durch Klicken auf einen Link kann zu UI-Spoofing führen

Beschreibung: Bei der Verarbeitung der FaceTime-Aufforderungen gab es eine Spoofing-Schwachstelle. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2453: xisigr vom Xuanwu Lab von Tencent (www.tencent.com)

Automatisches Ausfüllen beim Login in Safari

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Ein lokaler Benutzer kann auf gesperrte Schlüsselbundobjekte zugreifen

Beschreibung: Ein Problem mit der Verarbeitung von Schlüsselbundobjekten wurde durch eine verbesserte Verwaltung von Schlüsselbundobjekten behoben.

CVE-2017-2385: Simon Woodside von MedStack

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Das Ablegen eines in böser Absicht erstellten Links per Drag & Drop kann Lesezeichen-Spoofing oder die Ausführung willkürlichen Codes bewirken

Beschreibung: Beim Erstellen von Lesezeichen bestand ein Validierungsproblem. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2378: xisigr vom Xuanwu Lab von Tencent (www.tencent.com)

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten können Daten aus verschiedenen Quellen exfiltriert werden

Beschreibung: Ein Zugriffsproblem bei Prototypen wurde durch eine verbesserte Verarbeitung von Ausnahmen behoben.

CVE-2017-2386: André Bargull

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2394: Apple

CVE-2017-2396: Apple

CVE-2016-9642: Gustavo Grieco

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2395: Apple

CVE-2017-2454: Ivan Fratric von Google Project Zero

CVE-2017-2455: Ivan Fratric von Google Project Zero

CVE-2017-2459: Ivan Fratric von Google Project Zero

CVE-2017-2460: Ivan Fratric von Google Project Zero

CVE-2017-2464: Jeonghoon Shin, Natalie Silvanovich von Google Project Zero

CVE-2017-2465: Zheng Huang und Wei Yuan von Baidu Security Lab

CVE-2017-2466: Ivan Fratric von Google Project Zero

CVE-2017-2468: lokihardt von Google Project Zero

CVE-2017-2469: lokihardt von Google Project Zero

CVE-2017-2470: lokihardt von Google Project Zero

CVE-2017-2476: Ivan Fratric von Google Project Zero

CVE-2017-2481: 0011 in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Typenverwechslungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2415: Kai Kang vom Xuanwu Lab von Tencent (tencent.com)

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur unerwarteten Aushebelung der Inhaltssicherheitsrichtlinie führen

Beschreibung: In der Inhaltssicherheitsrichtlinie bestand ein Zugriffsproblem.  Dieses Problem wurde durch verbesserte Zugriffsbeschränkungen behoben.

CVE-2017-2419: Nicolai Grødum von Cisco Systems

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu starker Speichernutzung führen

Beschreibung: Ein Problem mit unkontrollierter Ressourcennutzung wurde durch eine verbesserte regex-Verarbeitung behoben.

CVE-2016-9643: Gustavo Grieco

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten kann Prozessspeicher offengelegt werden

Beschreibung: Bei der Verarbeitung von OpenGL-Shadern kam es zur Offenlegung von Informationen. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2424: Paul Thomson (mit dem GLFuzz-Tool) aus der Multicore Programming Group, Imperial College London

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2433: Apple

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten können Daten aus verschiedenen Quellen exfiltriert werden

Beschreibung: Bei der Verarbeitung von Seiten, die geladen werden, traten mehrere Überprüfungsprobleme auf. Dieses Problem wurde durch eine verbesserte Logik behoben.

CVE-2017-2364: lokihardt von Google Project Zero

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Eine in böser Absicht erstellte Website kann Daten von verschiedenen Quellen exfiltrieren

Beschreibung: Bei der Verarbeitung von Seiten, die geladen werden, trat ein Überprüfungsproblem auf. Dieses Problem wurde durch eine verbesserte Logik behoben.

CVE-2017-2367: lokihardt von Google Project Zero

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen

Beschreibung: Bei der Verarbeitung von Frame-Objekten kam es zu einem Logikproblem. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-2445: lokihardt von Google Project Zero

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Bei der Verarbeitung von Strict-Mode-Funktionen kam es zu einem Logikproblem. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-2446: Natalie Silvanovich von Google Project Zero

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann Benutzerdaten kompromittieren

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2447: Natalie Silvanovich von Google Project Zero

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2463: Kai Kang (4B5F5F4B) von Tencents Xuanwu Lab (tencent.com) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eintrag am 28. März 2017 hinzugefügt

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Das Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2471: Ivan Fratric von Google Project Zero

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen

Beschreibung: Bei der Frame-Verarbeitung bestand ein Logikproblem. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-2475: lokihardt von Google Project Zero

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten können Daten aus verschiedenen Quellen exfiltriert werden

Beschreibung: Bei der Verarbeitung von Elementen trat ein Überprüfungsproblem auf. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.

CVE-2017-2479: lokihardt von Google Project Zero

Eintrag am 28. März 2017 hinzugefügt

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten können Daten aus verschiedenen Quellen exfiltriert werden

Beschreibung: Bei der Verarbeitung von Elementen trat ein Überprüfungsproblem auf. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.

CVE-2017-2480: lokihardt von Google Project Zero

CVE-2017-2493: lokihardt von Google Project Zero

Eintrag am 24. April 2017 aktualisiert

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu URL-Spoofing führen

Beschreibung: Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-2486: Ein anonymer Forscher

Eintrag am 30. März 2017 hinzugefügt

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Ein Programm kann willkürlichen Code ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2392: Max Bazaliy von Lookout

Eintrag am 30. März 2017 hinzugefügt

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2457: lokihardt von Google Project Zero

Eintrag am 30. März 2017 hinzugefügt

WebKit JavaScript Bindings

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten können Daten aus verschiedenen Quellen exfiltriert werden

Beschreibung: Bei der Verarbeitung von Seiten, die geladen werden, traten mehrere Überprüfungsprobleme auf. Dieses Problem wurde durch eine verbesserte Logik behoben.

CVE-2017-2442: lokihardt von Google Project Zero

WebKit Web Inspector

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Das Schließen eines Fensters im angehaltenen Zustand im Debugger kann zu einem unerwarteten Programmabbruch führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2377: Vicki Pfau

WebKit Web Inspector

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2405: Apple

Zusätzliche Danksagung

Safari

Wir möchten uns bei Flyin9 (ZhenHui Lee) für die Unterstützung bedanken.

WebKit

Wir danken Yosuke HASEGAWA von Secure Sky Technology Inc. für die Unterstützung.

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: