Tietoja Safari 10.1:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan Safari 10.1:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta. Voit salata Applen kanssa käydyt keskustelut käyttämällä Applen tuoteturvallisuuden PGP-avainta.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Safari 10.1
CoreGraphics
Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2017-2444: Mei Wang (360 GearTeam)
JavaScriptCore
Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Vapaan tilan jälkeisen käytön ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2017-2491: Apple
JavaScriptCore
Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.
Vaikutus: Haitallisen verkkosivuston käsitteleminen saattoi johtaa yleiseen sivustojen väliseen komentosarjahyökkäykseen.
Kuvaus: Prototyyppiin liittyvä ongelma on korjattu parantamalla logiikkaa.
CVE-2017-2492: lokihardt (Google Project Zero)
Safari
Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.
Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen.
Kuvaus: Tilanhallinnan ongelma ratkaistiin poistamalla tekstinsyöttö käytöstä, kunnes kohdesivu on latautunut.
CVE-2017-2376: tuntematon tutkija, Chris Hlady (Google Inc), Yuyang Zhou (Tencent Security Platform Department, security.tencent.com), Muneaki Nishimura (nishimunea) (Recruit Technologies Co., Ltd.), Michal Zalewski (Google Inc), tuntematon tutkija
Safari
Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.
Vaikutus: Haitallisen verkkosisällön käsittely saattoi esittää todennusarkkeja mielivaltaisille verkkosivustoille.
Kuvaus: HTTP-todennuksen käsittelyssä oli väärentämiseen ja palvelunestoon liittyvä ongelma. Ongelma ratkaistiin tekemällä HTTP-todennusarkeista ei-modaalisia.
CVE-2017-2389: ShenYeYinJiu (Tencent Security Response Center, TSRC)
Safari
Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.
Vaikutus: Siirtyminen haitalliselle verkkosivustolle klikkaamalla linkkiä saattoi johtaa käyttöliittymän väärentämiseen.
Kuvaus: FaceTime-kehotteiden käsittelyssä oli väärennysongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2017-2453: xisigr (Tencentin Xuanwu Lab, tencent.com)
Safarin kirjautumisen automaattinen täyttö
Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.
Vaikutus: Paikallinen käyttäjä saattoi päästä käsiksi lukittuihin avainnipun kohteisiin.
Kuvaus: Avainnipun käsittelyyn liittyvä ongelma on ratkaistu parantamalla avainnipun kohteiden hallintaa.
CVE-2017-2385: Simon Woodside (MedStack)
WebKit
Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.
Vaikutus: Haitallisen linkin vetäminen ja pudottaminen saattoi johtaa kirjanmerkin väärentämiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: Kirjanmerkin luomisessa oli validointiongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2017-2378: xisigr (Tencentin Xuanwu Lab, tencent.com)
WebKit
Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi vuotaa tietoja eri alkuperien kesken.
Kuvaus: Prototyypin käyttöoikeusongelma on ratkaistu parantamalla poikkeusten käsittelyä.
CVE-2017-2386: André Bargull
WebKit
Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2017-2394: Apple
CVE-2017-2396: Apple
CVE-2016-9642: Gustavo Grieco
WebKit
Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-2395: Apple
CVE-2017-2454: Ivan Fratric (Google Project Zero), Zheng Huang (Baidu Security Lab) yhteistyössä Trend Micron Zero Day Initiativen kanssa
CVE-2017-2455: Ivan Fratric (Google Project Zero)
CVE-2017-2459: Ivan Fratric (Google Project Zero)
CVE-2017-2460: Ivan Fratric (Google Project Zero)
CVE-2017-2464: Jeonghoon Shin, natashenka (Google Project Zero)
CVE-2017-2465: Zheng Huang ja Wei Yuan (Baidu Security Lab)
CVE-2017-2466: Ivan Fratric (Google Project Zero)
CVE-2017-2468: lokihardt (Google Project Zero)
CVE-2017-2469: lokihardt (Google Project Zero)
CVE-2017-2470: lokihardt (Google Project Zero)
CVE-2017-2476: Ivan Fratric (Google Project Zero)
CVE-2017-2481: Trend Micron Zero Day Initiativen parissa työskentelevä 0011
WebKit
Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-2415: Kai Kang (Tencentin Xuanwu Lab, tencent.com)
WebKit
Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.
Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa sisältöturvallisuuskäytännön odottamattomaan käytöstä poistamiseen.
Kuvaus: Sisältöturvallisuuskäytännössä oli käyttöongelma. Ongelma on ratkaistu parantamalla käyttörajoituksia.
CVE-2017-2419: Nicolai Grødum (Cisco Systems)
WebKit
Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa muistin suureen käyttöön.
Kuvaus: Resurssien hallitsemattoman kulutuksen ongelma ratkaistiin parantamalla säännöllisten lausekkeiden käsittelyä.
CVE-2016-9643: Gustavo Grieco
WebKit
Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.
Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa prosessimuistin paljastumiseen.
Kuvaus: OpenGL-varjostinten käsittelyssä oli tietojen paljastumiseen liittyvä ongelma. Ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2017-2424: Paul Thomson (GLFuzz-työkalun avulla) (Multicore Programming Group, Imperial College London)
WebKit
Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2017-2433: Apple
WebKit
Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi vuotaa tietoja eri alkuperien kesken.
Kuvaus: Sivun lataamisen käsittelyssä esiintyi useita validointiongelmia. Ongelma on ratkaistu parantamalla logiikkaa.
CVE-2017-2364: lokihardt (Google Project Zero)
WebKit
Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.
Vaikutus: Haitallinen verkkosivusto saattoi vuotaa tietoja eri alkuperien kesken.
Kuvaus: Sivujen lataamisen käsittelyssä oli vahvistusongelma. Ongelma on ratkaistu parantamalla logiikkaa.
CVE-2017-2367: lokihardt (Google Project Zero)
WebKit
Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa yleisten sivustojen välisten komentosarjojen suorittamiseen
Kuvaus: Kehysobjektien käsittelyssä oli logiikkaongelma. Ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2017-2445: lokihardt (Google Project Zero)
WebKit
Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Strict mode -toimintojen käsittelyssä oli logiikkaongelma. Ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2017-2446: natashenka (Google Project Zero)
WebKit
Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.
Vaikutus: Haitallisella verkkosivustolla käyminen saattoi vaarantaa käyttäjätiedot.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-2447: natashenka (Google Project Zero)
WebKit
Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-2463: Trend Micron Zero Day Initiativen parissa työskentelevä Kai Kang (4B5F5F4B) (Tencentin Xuanwu Lab, tencent.com)
WebKit
Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Vapaan tilan jälkeisen käytön ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2017-2471: Ivan Fratric (Google Project Zero)
WebKit
Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa yleisten sivustojen välisten komentosarjojen suorittamiseen
Kuvaus: Kehysten käsittelyssä oli logiikkaongelma. Ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2017-2475: lokihardt (Google Project Zero)
WebKit
Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi vuotaa tietoja eri alkuperien kesken.
Kuvaus: Elementtien käsittelyssä esiintyi validointiongelma. Ongelma on ratkaistu parantamalla validointia.
CVE-2017-2479: lokihardt (Google Project Zero)
WebKit
Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi vuotaa tietoja eri alkuperien kesken.
Kuvaus: Elementtien käsittelyssä esiintyi validointiongelma. Ongelma on ratkaistu parantamalla validointia.
CVE-2017-2480: lokihardt (Google Project Zero)
CVE-2017-2493: lokihardt (Google Project Zero)
WebKit
Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.
Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen.
Kuvaus: Epäyhdenmukaisen käyttöliittymän ongelma on korjattu parantamalla tilanhallintaa.
CVE-2017-2486: nimetön tutkija
WebKit
Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-2392: Max Bazaliy (Lookout)
WebKit
Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-2457: lokihardt (Google Project Zero)
WebKit
Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-7071: Trend Micron Zero Day Initiativen parissa työskentelevä Kai Kang (4B5F5F4B) (Tencentin Xuanwu Lab, tencent.com)
WebKitin JavaScript-sidonnat
Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi vuotaa tietoja eri alkuperien kesken.
Kuvaus: Sivun lataamisen käsittelyssä esiintyi useita validointiongelmia. Ongelma on ratkaistu parantamalla logiikkaa.
CVE-2017-2442: lokihardt (Google Project Zero)
WebKit-verkkoinspektori
Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.
Vaikutus: Ikkunan sulkeminen virheenkorjauksen ollessa keskeytettynä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2017-2377: Vicki Pfau
WebKit-verkkoinspektori
Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2017-2405: Apple
Kiitokset
Safari
Haluamme kiittää Flyin9:ää (ZhenHui Lee) hänen avustaan.
WebKit
Haluamme kiittää Yosuke HASEGAWAa (Secure Sky Technology Inc.) hänen avustaan.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.