Tietoja Safari 10:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan Safari 10:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen turvallisuuspäivityssivustossa.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuussivustosta. Voit salata Applen kanssa käydyt keskustelut käyttämällä Applen tuoteturvallisuuden PGP-avainta.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Safari 10

Julkaistu 20.9.2016

Safari-lukija

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12

Vaikutus: Safari-lukijan käyttöönotto haitallisella verkkosivulla saattoi johtaa yleisten sivustojen välisten komentosarjojen suorittamiseen

Kuvaus: Useita tarkistusongelmia korjattiin parantamalla annettujen tietojen puhdistamista.

CVE-2016-4618: Erling Ellingsen

Kohta päivitetty 23.9.2016

Safarin välilehdet

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12

Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen

Kuvaus: Välilehti-istuntojen käsittelyssä oli tilahallintaongelma. Ongelma on ratkaistu parantamalla istuntotilan käsittelyä.

CVE-2016-4751: Daniel Chatfield – Monzo Bank

WebKit

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Virheprototyyppien käsittelyssä oli jäsennysongelma. Ongelma on ratkaistu parantamalla tarkistusta.

CVE-2016-4728: Daniel Divricean

WebKit

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12

Vaikutus: Haitallisella verkkosivustolla käynti saattoi vuotaa arkaluonteisia tietoja

Kuvaus: Sijaintimuuttujan käsittelyssä ilmeni lupaongelma. Ongelma on ratkaistu omistajuuden lisätarkistuksilla.

CVE-2016-4758: Masato Kinugawa – Cure53

WebKit

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-4611: Apple

CVE-2016-4729: Apple

CVE-2016-4730: Apple

CVE-2016-4731: Apple

CVE-2016-4734: Natalie Silvanovich – Google Project Zero

CVE-2016-4735: André Bargull

CVE-2016-4737: Apple

CVE-2016-4759: Tongbo Luo – Palo Alto Networks

CVE-2016-4762: Zheng Huang – Baidu Security Lab

CVE-2016-4766: Apple

CVE-2016-4767: Apple

CVE-2016-4768: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön henkilö

CVE-2016-4769: Tongbo Luo – Palo Alto Networks

WebKit

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12

Vaikutus: Haitallinen verkkosivusto saattoi pystyä käyttämään muita kuin HTTP-palveluja

Kuvaus: Safarin HTTP/0.9-tuki salli protokollien välisen muiden kuin HTTP-yhteyspalvelujen hyväksikäytön DNS rebinding -hyökkäystekniikkaa käyttämällä. Ongelma on ratkaistu rajoittamalla HTTP/0.9-vastaukset oletusportteihin ja peruuttamalla resurssien lataamisia, jos asiakirja oli ladattu eri HTTP-protokollaversiolla.

CVE-2016-4760: Jordan Milne

WebKit

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla tilanhallintaa.

CVE-2016-4733: Natalie Silvanovich – Google Project Zero

CVE-2016-4765: Apple

WebKit

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12

Vaikutus: Oikeudet omaavassa verkkoasemassa ollut hyökkääjä saattoi pystyä kaappaamaan ja muuttamaan verkkoliikennettä ohjelmiin, jotka käyttävät WKWebViewiä HTTPS:n kanssa

Kuvaus: WKWebViewin käsittelyssä oli varmenteen tarkistusongelma. Ongelma on ratkaistu parantamalla tarkistamista.

CVE-2016-4763: nimetön tutkija

WebKit

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla tilanhallintaa.

CVE-2016-4764: Apple

Kohta lisätty 3.11.2016

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: