Tietoja Safari 10.0.3:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan Safari 10.0.3:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta. Voit salata Applen kanssa käydyt keskustelut käyttämällä Applen tuoteturvallisuuden PGP-avainta.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Safari 10.0.3

Safari

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.3.

Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen.

Kuvaus: Osoiterivin tilanhallintaongelma on ratkaistu parantamalla URL-osoitteiden käsittelyä.

CVE-2017-2359: xisigr (Tencentin Xuanwu Lab) (www.tencent.com)

WebKit

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.3.

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa tietojen vuotamiseen eri alkuperien kesken.

Kuvaus: Prototyypin käyttöongelma ratkaistiin parantamalla poikkeusten käsittelyä.

CVE-2017-2350: Gareth Heyes (Portswigger Web Security)

WebKit

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.3.

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Useita muistin vioittumisongelmia ratkaistiin parantamalla muistin käsittelyä.

CVE-2017-2354: Trend Micron Zero Day Initiativen parissa työskentelevä Neymar (Tencentin Xuanwu Lab) (tencent.com)

CVE-2017-2362: Ivan Fratric (Google Project Zero)

CVE-2017-2373: Ivan Fratric (Google Project Zero)

WebKit

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.3.

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Muistin alustamisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-2355: Team Pangu ja lokihardt PwnFest 2016-tapahtumassa

WebKit

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.3.

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2017-2356: Team Pangu ja lokihardt PwnFest 2016-tapahtumassa

CVE-2017-2369: Ivan Fratric (Google Project Zero)

CVE-2017-2366: Kai Kang (Tencentin Xuanwu Lab) (tencent.com)

WebKit

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.3.

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa tietojen vuotamiseen eri alkuperien kesken.

Kuvaus: Sivun lataamisen käsittelyssä esiintyi useita validointiongelmia. Ongelma on ratkaistu parantamalla logiikan käsittelyä.

CVE-2017-2363: lokihardt (Google Project Zero)

CVE-2017-2364: lokihardt (Google Project Zero)

WebKit

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.3.

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa tietojen vuotamiseen eri alkuperien kesken.

Kuvaus: Muuttujien käsittelyssä esiintyi validointiongelma. Ongelma on ratkaistu parantamalla validointia.

CVE-2017-2365: lokihardt (Google Project Zero)

Kiitokset

Webkitin suojaus

Kiitos Ben Grasille, Kaveh Razaville, Erik Bosmanille, Herbert Bosille ja Cristiano Giuffridalle (vusec group, Vrije Universiteit Amsterdam) heidän avustaan.