Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του Safari 10.1

Το παρόν έγγραφο περιγράφει το περιεχόμενο ασφάλειας του Safari 10.1.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Safari 10.1

CoreGraphics

Διαθέσιμο για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12.4

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένης επαλήθευσης εισόδου.

CVE-2017-2444: Mei Wang του 360 GearTeam

JavaScriptCore

Διαθέσιμο για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12.4

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου "use after free" αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης μνήμης.

CVE-2017-2491: Apple

JavaScriptCore

Διαθέσιμο για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12.4

Αποτέλεσμα: Η επεξεργασία κακόβουλης ιστοσελίδας μπορεί να επιτρέψει την καθολική διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Ένα πρόβλημα πρωτοτύπου αντιμετωπίστηκε μέσω βελτιωμένης λογικής.

CVE-2017-2492: lokihardt του Google Project Zero

Safari

Διαθέσιμο για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12.4

Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε πλαστογράφηση της γραμμής διευθύνσεων

Περιγραφή: Αντιμετωπίστηκε ένα πρόβλημα διαχείρισης κατάστασης με την απενεργοποίηση της εισόδου κειμένου μέχρι να ολοκληρωθεί η φόρτωση της σελίδας προορισμού.

CVE-2017-2376: ένας ανώνυμος ερευνητής, Chris Hlady της Google Inc, Yuyang Zhou του Tencent Security Platform Department (security.tencent.com), Muneaki Nishimura (nishimunea) της Recruit Technologies Co., Ltd., Michal Zalewski της Google Inc, ένας ανώνυμος ερευνητής

Safari

Διαθέσιμο για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12.4

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να παρουσιάσει φύλλα ελέγχου ταυτότητας επάνω σε αυθαίρετους ιστότοπους

Περιγραφή: Υπήρχε ένα πρόβλημα πλαστογράφησης και άρνησης υπηρεσίας στον χειρισμό του ελέγχου ταυτότητας HTTP. Αυτό το πρόβλημα αντιμετωπίστηκε με τη μετατροπή των φύλλων ελέγχου ταυτότητας HTTP σε "non-modal".

CVE-2017-2389: ShenYeYinJiu του Tencent Security Response Center, TSRC

Safari

Διαθέσιμο για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12.4

Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο πατώντας έναν σύνδεσμο μπορεί να οδηγήσει σε πλαστογράφηση του περιβάλλοντος χρήστη

Περιγραφή: Υπήρχε ένα πρόβλημα πλαστογράφησης στον χειρισμό των προτροπών FaceTime. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2017-2453: xisigr του Tencent Xuanwu Lab (tencent.com)

Αυτοσυμπλήρωση στοιχείων σύνδεσης Safari

Διαθέσιμο για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12.4

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να έχει πρόσβαση σε κλειδωμένα στοιχεία κλειδοθήκης

Περιγραφή: Ένα πρόβλημα χειρισμού της κλειδοθήκης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης στοιχείων κλειδοθήκης.

CVE-2017-2385: Simon Woodside της MedStack

WebKit

Διαθέσιμο για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12.4

Αποτέλεσμα: Η μεταφορά και απόθεση μιας κακόβουλης σύνδεσης ενδέχεται να έχει ως αποτέλεσμα την πλαστογράφηση σελιδοδεικτών ή την εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Υπήρχε ένα πρόβλημα επαλήθευσης κατά τη δημιουργία σελιδοδεικτών. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2017-2378: xisigr του Tencent Xuanwu Lab (tencent.com)

WebKit

Διαθέσιμο για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12.4

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού ενδέχεται να αποσπάσει δεδομένα μεταξύ προελεύσεων

Περιγραφή: Ένα πρόβλημα πρόσβασης σε πρωτότυπο αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού εξαιρέσεων.

CVE-2017-2386: André Bargull

WebKit

Διαθέσιμο για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12.4

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένης επαλήθευσης εισόδου.

CVE-2017-2394: Apple

CVE-2017-2396: Apple

CVE-2016-9642: Gustavo Grieco

WebKit

Διαθέσιμο για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12.4

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Πολλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-2395: Apple

CVE-2017-2454: Ivan Fratric του Google Project Zero, Zheng Huang του Baidu Security Lab σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2017-2455: Ivan Fratric του Google Project Zero

CVE-2017-2459: Ivan Fratric του Google Project Zero

CVE-2017-2460: Ivan Fratric του Google Project Zero

CVE-2017-2464: Jeonghoon Shin, natashenka του Google Project Zero

CVE-2017-2465: Zheng Huang και Wei Yuan του Baidu Security Lab

CVE-2017-2466: Ivan Fratric του Google Project Zero

CVE-2017-2468: lokihardt του Google Project Zero

CVE-2017-2469: lokihardt του Google Project Zero

CVE-2017-2470: lokihardt του Google Project Zero

CVE-2017-2476: Ivan Fratric του Google Project Zero

CVE-2017-2481: 0011 σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

WebKit

Διαθέσιμο για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12.4

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-2415: Kai Kang του Tencent Xuanwu Lab (tentcent.com)

WebKit

Διαθέσιμο για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12.4

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού ενδέχεται να έχει ως αποτέλεσμα την απρόσμενη μη επιβολή της Πολιτικής ασφάλειας περιεχομένου

Περιγραφή: Υπήρχε ένα πρόβλημα πρόσβασης στην Πολιτική ασφάλειας περιεχομένου. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους περιορισμούς πρόσβασης.

CVE-2017-2419: Nicolai Grødum της Cisco Systems

WebKit

Διαθέσιμο για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12.4

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να έχει ως αποτέλεσμα την υψηλή κατανάλωση μνήμης

Περιγραφή: Ένα μη ελεγχόμενο πρόβλημα κατανάλωσης πόρων αντιμετωπίστηκε μέσω βελτιωμένης επεξεργασίας regex.

CVE-2016-9643: Gustavo Grieco

WebKit

Διαθέσιμο για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12.4

Αποτέλεσμα: Η επεξεργασία κακόβουλα δομημένου περιεχομένου ιστού ενδεχομένως να επιτρέψει την αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Υπήρχε ένα πρόβλημα αποκάλυψης πληροφοριών στην επεξεργασία των shader OpenGL. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης μνήμης.

CVE-2017-2424: Paul Thomson (χρησιμοποιώντας το εργαλείο GLFuzz) της ομάδας Multicore Programming Group, Imperial College London

WebKit

Διαθέσιμο για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12.4

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης δεδομένων εισαγωγής.

CVE-2017-2433: Apple

WebKit

Διαθέσιμο για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12.4

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού ενδέχεται να αποσπάσει δεδομένα μεταξύ προελεύσεων

Περιγραφή: Υπήρχαν πολλά προβλήματα επαλήθευσης κατά τον χειρισμό της φόρτωσης σελίδων. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη λογική.

CVE-2017-2364: lokihardt του Google Project Zero

WebKit

Διαθέσιμο για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12.4

Αποτέλεσμα: Ένας κακόβουλος ιστότοπος ενδέχεται να αποσπάσει δεδομένα μεταξύ προελεύσεων

Περιγραφή: Υπήρχε ένα πρόβλημα επαλήθευσης στον χειρισμό της φόρτωσης σελίδων. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη λογική.

CVE-2017-2367: lokihardt του Google Project Zero

WebKit

Διαθέσιμο για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12.4

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την καθολική διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Υπήρχε ένα σφάλμα λογικής στον χειρισμό των αντικειμένων πλαισίων. Αυτό το θέμα αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2017-2445: lokihardt του Google Project Zero

WebKit

Διαθέσιμο για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12.4

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Υπήρχε ένα σφάλμα λογικής στον χειρισμό των συναρτήσεων αυστηρής λειτουργίας. Αυτό το θέμα αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2017-2446: natashenka του Google Project Zero

WebKit

Διαθέσιμο για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12.4

Αποτέλεσμα: Η επίσκεψη σε κακόβουλους ιστότοπους ενδέχεται να παραβιάσει τις πληροφορίες χρήστη

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-2447: natashenka του Google Project Zero

WebKit

Διαθέσιμο για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12.4

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Πολλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-2463: Kai Kang (4B5F5F4B) του Tencent Xuanwu Lab (tencent.com) σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

WebKit

Διαθέσιμο για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12.4

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου "use after free" αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης μνήμης.

CVE-2017-2471: Ivan Fratric του Google Project Zero

WebKit

Διαθέσιμο για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12.4

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την καθολική διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Υπήρχε ένα σφάλμα λογικής στον χειρισμό πλαισίων. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2017-2475: lokihardt του Google Project Zero

WebKit

Διαθέσιμο για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12.4

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού ενδέχεται να αποσπάσει δεδομένα μεταξύ προελεύσεων

Περιγραφή: Υπήρχε ένα πρόβλημα επαλήθευσης στον χειρισμό στοιχείων. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2017-2479: lokihardt του Google Project Zero

WebKit

Διαθέσιμο για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12.4

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού ενδέχεται να αποσπάσει δεδομένα μεταξύ προελεύσεων

Περιγραφή: Υπήρχε ένα πρόβλημα επαλήθευσης στον χειρισμό στοιχείων. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2017-2480: lokihardt του Google Project Zero

CVE-2017-2493: lokihardt του Google Project Zero

WebKit

Διαθέσιμο για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12.4

Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε πλαστογράφηση της γραμμής διευθύνσεων

Περιγραφή: Ένα μη συνεπές πρόβλημα περιβάλλοντος εργασίας χρήστη αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2017-2486: ένας ανώνυμος ερευνητής

WebKit

Διαθέσιμο για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12.4

Αποτέλεσμα: Μια εφαρμογή μπορεί να αποκτήσει δυνατότητα εκτέλεσης αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-2392: Max Bazaliy της Lookout

WebKit

Διαθέσιμο για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12.4

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Πολλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-2457: lokihardt του Google Project Zero

WebKit

Διαθέσιμο για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12.4

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.

CVE-2017-7071: Kai Kang (4B5F5F4B) του Tencent's Xuanwu Lab (tencent.com) σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Συνδέσεις JavaScript WebKit

Διαθέσιμο για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12.4

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού ενδέχεται να αποσπάσει δεδομένα μεταξύ προελεύσεων

Περιγραφή: Υπήρχαν πολλά προβλήματα επαλήθευσης κατά τον χειρισμό της φόρτωσης σελίδων. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη λογική.

CVE-2017-2442: lokihardt του Google Project Zero

WebKit Web Inspector

Διαθέσιμο για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12.4

Αποτέλεσμα: Το κλείσιμο ενός παραθύρου που έχει τεθεί σε παύση στο πρόγραμμα εντοπισμού σφαλμάτων ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης δεδομένων εισαγωγής.

CVE-2017-2377: Vicki Pfau

WebKit Web Inspector

Διαθέσιμο για: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 και macOS Sierra 10.12.4

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης δεδομένων εισαγωγής.

CVE-2017-2405: Apple

Επιπλέον αναγνώριση

Safari

Θα θέλαμε να ευχαριστήσουμε την Flyin9 (ZhenHui Lee) για τη βοήθειά της.

Webkit

Θα θέλαμε να ευχαριστήσουμε τον Yosuke HASEGAWA της Secure Sky Technology Inc για τη βοήθειά του.