Informationen zum Sicherheitsinhalt von Safari 10.1

In diesem Dokument wird der Sicherheitsinhalt von Safari 10.1 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.

Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit. Deine Kommunikation mit Apple kannst du mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Safari 10.1

CoreGraphics

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2444: Mei Wang vom 360 GearTeam

JavaScriptCore

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Das Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2491: Apple

JavaScriptCore

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Webseite kann zu universellem Cross-Site-Scripting führen

Beschreibung: Ein Prototypenproblem wurde durch verbesserte Logik behoben.

CVE-2017-2492: lokihardt von Google Project Zero

Safari

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu URL-Spoofing führen

Beschreibung: Ein Statusverwaltungsproblem wurde behoben, indem die Texteingabe so lange deaktiviert wird, bis die Zielseite geladen ist.

CVE-2017-2376: Ein anonymer Forscher, Chris Hlady von Google Inc., Yuyang Zhou vom Tencent Security Platform Department (security.tencent.com), Muneaki Nishimura (nishimunea) von Recruit Technologies Co. Ltd., Michal Zalewski von Google Inc., ein anonymer Forscher

Safari

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Bei der Verarbeitung von in böser Absicht erstellten Webinhalten können Authentifizierungsseiten über willkürlichen Websites angezeigt werden

Beschreibung: Bei der HTTP-Authentifizierung bestand ein Spoofing- und Denial-of-Service-Problem. Dieses Problem wurde durch eine nichtmodale Gestaltung der HTTP-Authentifizierungsseiten behoben.

CVE-2017-2389: ShenYeYinJiu von Tencent Security Response Center, TSRC

Safari

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Der Besuch einer in böser Absicht erstellten Website durch Klicken auf einen Link kann zu UI-Spoofing führen

Beschreibung: Bei der Verarbeitung der FaceTime-Aufforderungen gab es eine Spoofing-Schwachstelle. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2453: xisigr vom Xuanwu Lab von Tencent (www.tencent.com)

Automatisches Ausfüllen beim Login in Safari

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Ein lokaler Benutzer kann auf gesperrte Schlüsselbundobjekte zugreifen

Beschreibung: Ein Problem mit der Verarbeitung von Schlüsselbundobjekten wurde durch eine verbesserte Verwaltung von Schlüsselbundobjekten behoben.

CVE-2017-2385: Simon Woodside von MedStack

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Das Ablegen eines in böser Absicht erstellten Links per Drag & Drop kann Lesezeichen-Spoofing oder die Ausführung willkürlichen Codes bewirken

Beschreibung: Beim Erstellen von Lesezeichen bestand ein Validierungsproblem. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2378: xisigr vom Xuanwu Lab von Tencent (www.tencent.com)

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten können Daten aus verschiedenen Quellen exfiltriert werden

Beschreibung: Ein Zugriffsproblem bei Prototypen wurde durch eine verbesserte Verarbeitung von Ausnahmen behoben.

CVE-2017-2386: André Bargull

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2394: Apple

CVE-2017-2396: Apple

CVE-2016-9642: Gustavo Grieco

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2395: Apple

CVE-2017-2454: Ivan Fratric von Google Project Zero, Zheng Huang vom Baidu Security Lab in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-2455: Ivan Fratric von Google Project Zero

CVE-2017-2459: Ivan Fratric von Google Project Zero

CVE-2017-2460: Ivan Fratric von Google Project Zero

CVE-2017-2464: Jeonghoon Shin, natashenka von Google Project Zero

CVE-2017-2465: Zheng Huang und Wei Yuan von Baidu Security Lab

CVE-2017-2466: Ivan Fratric von Google Project Zero

CVE-2017-2468: lokihardt von Google Project Zero

CVE-2017-2469: lokihardt von Google Project Zero

CVE-2017-2470: lokihardt von Google Project Zero

CVE-2017-2476: Ivan Fratric von Google Project Zero

CVE-2017-2481: 0011 in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Typenverwechslungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2415: Kai Kang vom Xuanwu Lab von Tencent (tencent.com)

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur unerwarteten Aushebelung der Inhaltssicherheitsrichtlinie führen

Beschreibung: In der Inhaltssicherheitsrichtlinie bestand ein Zugriffsproblem. Dieses Problem wurde durch verbesserte Zugriffsbeschränkungen behoben.

CVE-2017-2419: Nicolai Grødum von Cisco Systems

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu starker Speichernutzung führen

Beschreibung: Ein Problem mit unkontrollierter Ressourcennutzung wurde durch eine verbesserte regex-Verarbeitung behoben.

CVE-2016-9643: Gustavo Grieco

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten kann Prozessspeicher offengelegt werden.

Beschreibung: Bei der Verarbeitung von OpenGL-Shadern kam es zur Offenlegung von Informationen. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2424: Paul Thomson (mit dem GLFuzz-Tool) aus der Multicore Programming Group, Imperial College London

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2433: Apple

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten können Daten aus verschiedenen Quellen exfiltriert werden

Beschreibung: Bei der Verarbeitung von Seiten, die geladen werden, traten mehrere Überprüfungsprobleme auf. Dieses Problem wurde durch eine verbesserte Logik behoben.

CVE-2017-2364: lokihardt von Google Project Zero

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Eine in böser Absicht erstellte Website kann Daten von verschiedenen Quellen exfiltrieren.

Beschreibung: Bei der Verarbeitung von Seiten, die geladen werden, trat ein Überprüfungsproblem auf. Dieses Problem wurde durch eine verbesserte Logik behoben.

CVE-2017-2367: lokihardt von Google Project Zero

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen.

Beschreibung: Bei der Verarbeitung von Frame-Objekten kam es zu einem Logikproblem. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-2445: lokihardt von Google Project Zero

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Bei der Verarbeitung von Strict-Mode-Funktionen kam es zu einem Logikproblem. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-2446: natashenka von Google Project Zero

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann Benutzerdaten kompromittieren

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2447: natashenka von Google Project Zero

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2463: Kai Kang (4B5F5F4B) von Tencents Xuanwu Lab (tencent.com) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Das Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2471: Ivan Fratric von Google Project Zero

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen.

Beschreibung: Bei der Frame-Verarbeitung bestand ein Logikproblem. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-2475: lokihardt von Google Project Zero

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten können Daten aus verschiedenen Quellen exfiltriert werden

Beschreibung: Bei der Verarbeitung von Elementen trat ein Überprüfungsproblem auf. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.

CVE-2017-2479: lokihardt von Google Project Zero

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten können Daten aus verschiedenen Quellen exfiltriert werden

Beschreibung: Bei der Verarbeitung von Elementen trat ein Überprüfungsproblem auf. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.

CVE-2017-2480: lokihardt von Google Project Zero

CVE-2017-2493: lokihardt von Google Project Zero

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu URL-Spoofing führen

Beschreibung: Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-2486: Ein anonymer Forscher

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Ein Programm kann willkürlichen Code ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2392: Max Bazaliy von Lookout

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2457: lokihardt von Google Project Zero

WebKit

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7071: Kai Kang (4B5F5F4B) von Tencents Xuanwu Lab (tencent.com) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

WebKit JavaScript Bindings

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten können Daten aus verschiedenen Quellen exfiltriert werden

Beschreibung: Bei der Verarbeitung von Seiten, die geladen werden, traten mehrere Überprüfungsprobleme auf. Dieses Problem wurde durch eine verbesserte Logik behoben.

CVE-2017-2442: lokihardt von Google Project Zero

WebKit Web Inspector

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Das Schließen eines Fensters im angehaltenen Zustand im Debugger kann zu einem unerwarteten Programmabbruch führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2377: Vicki Pfau

WebKit Web Inspector

Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2405: Apple

Zusätzliche Danksagung

Safari

Wir möchten uns bei Flyin9 (ZhenHui Lee) für die Unterstützung bedanken.

WebKit

Wir danken Yosuke HASEGAWA von Secure Sky Technology Inc. für die Unterstützung.