Acerca del contenido de seguridad de Safari 11

Este documento describe el contenido de seguridad de Safari 11.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos de Apple. Las comunicaciones con Apple se pueden cifrar mediante la clave PGP de seguridad de los productos Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.

Safari 11

Disponible el 19 de septiembre de 2017

Safari

Disponible para: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 y macOS High Sierra 10.13

Impacto: visitar un sitio web creado con fines malintencionados podría provocar la suplantación de la barra de direcciones

Descripción: se ha solucionado un problema de inconsistencia en la interfaz del usuario mediante la mejora de la gestión del estado.

CVE-2017-7085: xisigr de Tencent's Xuanwu Lab (tencent.com)

WebKit

Disponible para: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 y macOS High Sierra 10.13

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de un código arbitrario

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2017-7081: Apple

Entrada añadida el 25 de septiembre de 2017

WebKit

Disponible para: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 y macOS High Sierra 10.13

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de un código arbitrario

Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.

CVE-2017-7087: Apple

CVE-2017-7091: Wei Yuan de Baidu Security Lab en colaboración con Zero Day Initiative de Trend Micro

CVE-2017-7092: Samuel Gro y Niklas Baumstark en colaboración con Zero Day Initiative de Trend Micro y Qixun Zhao (@S0rryMybad) de Qihoo 360 Vulcan Team

CVE-2017-7093: Samuel Gro y Niklas Baumstark en colaboración con Zero Day Initiative de Trend Micro

CVE-2017-7094: Tim Michaud (@TimGMichaud) de Leviathan Security Group

CVE-2017-7095: Wang Junjie, Wei Lei y Liu Yang de la Nanyang Technological University en colaboración con Zero Day Initiative de Trend Micro

CVE-2017-7096: Wei Yuan de Baidu Security Lab

CVE-2017-7098: Felipe Freitas del Instituto Tecnológico de Aeronáutica

CVE-2017-7099: Apple

CVE-2017-7100: Masato Kinugawa y Mario Heiderich de Cure53

CVE-2017-7102: Wang Junjie, Wei Lei y Liu Yang de la Nanyang Technological University

CVE-2017-7104: likemeng de Baidu Security Lab

CVE-2017-7107: Wang Junjie, Wei Lei y Liu Yang de la Nanyang Technological University

CVE-2017-7111: likemeng de Baidu Security Lab (xlab.baidu.com) en colaboración con Zero Day Initiative de Trend Micro

CVE-2017-7117: lokihardt de Google Project Zero

CVE-2017-7120: chenqin (陈钦) de Ant-financial Light-Year Security Lab

Entrada añadida el 25 de septiembre de 2017

WebKit

Disponible para: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 y macOS High Sierra 10.13

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución universal de secuencias de comandos entre sitios

Descripción: existía un problema lógico en la gestión de la pestaña principal. Se ha solucionado este problema mediante la mejora de la gestión del estado.

CVE-2017-7089: Anton Lopanitsyn de ONSEC, Frans Rosén de Detectify

WebKit

Disponible para: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 y macOS High Sierra 10.13

Impacto: las cookies pertenecientes a un origen podrían enviarse a otro

Descripción: existía un problema de permisos en la gestión de cookies del explorador web. Este problema se ha solucionado dejando de devolver cookies para los esquemas de las URL personalizadas.

CVE-2017-7090: Apple

Entrada añadida el 25 de septiembre de 2017

WebKit

Disponible para: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 y macOS High Sierra 10.13

Impacto: visitar un sitio web creado con fines malintencionados podría provocar la suplantación de la barra de direcciones

Descripción: se ha solucionado un problema de inconsistencia en la interfaz del usuario mediante la mejora de la gestión del estado.

CVE-2017-7106: Oliver Paukstadt de Thinking Objects GmbH (to.com)

WebKit

Disponible para: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 y macOS High Sierra 10.13

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar un ataque de ejecución de secuencias de comandos entre sitios

Descripción: puede que se aplique, de forma inesperada, la política de caché de aplicación.

CVE-2017-7109: avlidienbrunn

Entrada añadida el 25 de septiembre de 2017

WebKit

Disponible para: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 y macOS High Sierra 10.13

Impacto: un sitio web malintencionado podía rastrear a los usuarios dentro del modo de navegación privada de Safari

Descripción: existía un problema de permisos en la gestión de cookies del explorador web. Este problema se ha solucionado mejorando las restricciones.

CVE-2017-7144: Mohammad Ghasemisharif de UIC’s BITS Lab

Entrada actualizada el 9 de octubre de 2017

Almacenamiento de WebKit

Disponible para: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 y macOS High Sierra 10.13

Impacto: los datos de sitios web podrían permanecer tras una sesión de navegación privada de Safari

Descripción: existía un problema de filtración de información en la gestión de los datos de sitios web en las ventanas de navegación privada de Safari. Este problema se ha solucionado mejorando la gestión de los datos.

CVE-2017-7142: Rich Shawn O’Connell, investigador anónimo

Entrada añadida el 25 de septiembre de 2017, actualizada el 10 de noviembre de 2017

Otros agradecimientos

WebKit

Queremos mostrar nuestro agradecimiento por su ayuda a xisigr de Tencent's Xuanwu Lab (tencent.com).

WebKit

Queremos mostrar nuestro agradecimiento por su ayuda a Rayyan Bijoora (@Bijoora) de The City School, PAF Chapter.

WebKit

Nos gustaría agradecer su ayuda a redrain (hongyu de 360CERT).

Entrada añadida el 14 de febrero de 2018

WebKit Fullscreen

Queremos mostrar nuestro agradecimiento por su ayuda a xisigr de Tencent's Xuanwu Lab (tencent.com).

Entrada añadida el 14 de febrero de 2018

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se proporciona sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, rendimiento o uso de sitios web o productos de terceros. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Ponte en contacto con el proveedor para obtener información adicional. Otros nombres de empresas o productos pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: