Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του Safari 10

Το παρόν έγγραφο περιγράφει το περιεχόμενο ασφάλειας του Safari 10.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Safari 10

Κυκλοφόρησε στις 20 Σεπτεμβρίου 2016

Safari Reader

Διατίθεται για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12

Αποτέλεσμα: Η ενεργοποίηση της λειτουργίας Safari Reader σε κακόβουλα δομημένη ιστοσελίδα μπορεί να επιτρέπει καθολική διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Πολλά προβλήματα επαλήθευσης αντιμετωπίστηκαν με τη βελτίωση της εξυγίανσης εισόδου.

CVE-2016-4618: Erling Ellingsen

Η καταχώριση ενημερώθηκε στις 23 Σεπτεμβρίου 2016

Καρτέλες Safari

Διατίθεται για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12

Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε πλαστογράφηση της γραμμής διευθύνσεων

Περιγραφή: Υπήρχε ένα πρόβλημα διαχείρισης κατάστασης στον χειρισμό των συνεδριών καρτελών. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω της διαχείρισης κατάστασης συνεδρίας.

CVE-2016-4751: Daniel Chatfield της Monzo Bank

WebKit

Διατίθεται για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Υπήρχε ένα ζήτημα ανάλυσης με τον χειρισμό πρωτότυπων σφαλμάτων. Αυτό αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2016-4728: Daniel Divricean

WebKit

Διατίθεται για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12

Αποτέλεσμα: Η επίσκεψη σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τη διαρροή ευαίσθητων δεδομένων

Περιγραφή: Υπήρχε ένα πρόβλημα δικαιωμάτων στον χειρισμό της μεταβλητής τοποθεσίας. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω πρόσθετων ελέγχων ιδιοκτησίας.

CVE-2016-4758: Masato Kinugawa από Cure53

WebKit

Διατίθεται για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Πολλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2016-4611: Apple

CVE-2016-4729: Apple

CVE-2016-4730: Apple

CVE-2016-4731: Apple

CVE-2016-4734: natashenka του Google Project Zero

CVE-2016-4735: André Bargull

CVE-2016-4737: Apple

CVE-2016-4759: Tongbo Luo από Palo Alto Networks

CVE-2016-4762: Zheng Huang από Baidu Security Lab

CVE-2016-4766: Apple

CVE-2016-4767: Apple

CVE-2016-4768: Ανώνυμος σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2016-4769: Tongbo Luo της Palo Alto Networks

WebKit

Διατίθεται για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12

Αποτέλεσμα: Ένας κακόβουλος ιστότοπος ενδέχεται να αποκτήσει πρόσβαση σε υπηρεσίες εκτός HTTP

Περιγραφή: Η υποστήριξη HTTP/0.9 στο Safari επέτρεπε την εκμετάλλευση υπηρεσιών εκτός HTTP μεταξύ πρωτοκόλλων μέσω επαναδέσμευσης DNS. Το πρόβλημα αντιμετωπίστηκε με τον περιορισμό των αποκρίσεων HTTP/0.9 στις προεπιλεγμένες θύρες και με την ακύρωση της φόρτωσης πόρων, αν το έγγραφο φορτωθεί με διαφορετική έκδοση πρωτοκόλλου HTTP.

CVE-2016-4760: Jordan Milne

WebKit

Διατίθεται για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Πολλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένης διαχείρισης κατάστασης λειτουργίας.

CVE-2016-4733: natashenka του Google Project Zero

CVE-2016-4765: Apple

WebKit

Διατίθεται για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου μπορεί να είναι σε θέση να υποκλέψει και να τροποποιήσει την κίνηση δικτύου σε εφαρμογές με χρήση WKWebView με HTTPS

Περιγραφή: Υπήρχε ένα ζήτημα επαλήθευσης πιστοποιητικών στο χειρισμό του WKWebView. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2016-4763: ένας ανώνυμος ερευνητής

WebKit

Διατίθεται για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Πολλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένης διαχείρισης κατάστασης λειτουργίας.

CVE-2016-4764: Apple

Η καταχώρηση προστέθηκε στις 3 Νοεμβρίου 2016

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: