Tietoja Safari 10.1:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan Safari 10.1:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta. Voit salata Applen kanssa käydyt keskustelut käyttämällä Applen tuoteturvallisuuden PGP-avainta.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Safari 10.1

Julkaistu 27.3.2017

CoreGraphics

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2017-2444: Mei Wang (360 GearTeam)

JavaScriptCore

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Vapaan tilan jälkeisen käytön ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2017-2491: Apple

Kohta lisätty 2.5.2017

JavaScriptCore

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.

Vaikutus: Haitallisen verkkosivuston käsitteleminen saattoi johtaa yleiseen sivustojen väliseen komentosarjahyökkäykseen.

Kuvaus: Prototyyppiin liittyvä ongelma on korjattu parantamalla logiikkaa.

CVE-2017-2492: lokihardt (Google Project Zero)

Kohta päivitetty 24.4.2017

Safari

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.

Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen.

Kuvaus: Tilanhallinnan ongelma ratkaistiin poistamalla tekstinsyöttö käytöstä, kunnes kohdesivu on latautunut.

CVE-2017-2376: tuntematon tutkija, Chris Hlady (Google Inc), Yuyang Zhou (Tencent Security Platform Department, security.tencent.com), Muneaki Nishimura (nishimunea) (Recruit Technologies Co., Ltd.), Michal Zalewski (Google Inc), tuntematon tutkija

Safari

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.

Vaikutus: Haitallisen verkkosisällön käsittely saattoi esittää todennusarkkeja mielivaltaisille verkkosivustoille.

Kuvaus: HTTP-todennuksen käsittelyssä oli väärentämiseen ja palvelunestoon liittyvä ongelma. Ongelma ratkaistiin tekemällä HTTP-todennusarkeista ei-modaalisia.

CVE-2017-2389: ShenYeYinJiu (Tencent Security Response Center, TSRC)

Safari

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.

Vaikutus: Siirtyminen haitalliselle verkkosivustolle klikkaamalla linkkiä saattoi johtaa käyttöliittymän väärentämiseen.

Kuvaus: FaceTime-kehotteiden käsittelyssä oli väärennysongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2017-2453: xisigr (Tencentin Xuanwu Lab, tencent.com)

Safarin kirjautumisen automaattinen täyttö

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.

Vaikutus: Paikallinen käyttäjä saattoi päästä käsiksi lukittuihin avainnipun kohteisiin.

Kuvaus: Avainnipun käsittelyyn liittyvä ongelma on ratkaistu parantamalla avainnipun kohteiden hallintaa.

CVE-2017-2385: Simon Woodside (MedStack)

WebKit

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.

Vaikutus: Haitallisen linkin vetäminen ja pudottaminen saattoi johtaa kirjanmerkin väärentämiseen tai mielivaltaisen koodin suorittamiseen.

Kuvaus: Kirjanmerkin luomisessa oli validointiongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2017-2378: xisigr (Tencentin Xuanwu Lab, tencent.com)

WebKit

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi vuotaa tietoja eri alkuperien kesken.

Kuvaus: Prototyypin käyttöoikeusongelma on ratkaistu parantamalla poikkeusten käsittelyä.

CVE-2017-2386: André Bargull

WebKit

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2017-2394: Apple

CVE-2017-2396: Apple

CVE-2016-9642: Gustavo Grieco

WebKit

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-2395: Apple

CVE-2017-2454: Ivan Fratric (Google Project Zero), Zheng Huang (Baidu Security Lab) yhteistyössä Trend Micron Zero Day Initiativen kanssa 

CVE-2017-2455: Ivan Fratric (Google Project Zero)

CVE-2017-2459: Ivan Fratric (Google Project Zero)

CVE-2017-2460: Ivan Fratric (Google Project Zero)

CVE-2017-2464: Jeonghoon Shin, Natalie Silvanovich (Google Project Zero)

CVE-2017-2465: Zheng Huang ja Wei Yuan (Baidu Security Lab)

CVE-2017-2466: Ivan Fratric (Google Project Zero)

CVE-2017-2468: lokihardt (Google Project Zero)

CVE-2017-2469: lokihardt (Google Project Zero)

CVE-2017-2470: lokihardt (Google Project Zero)

CVE-2017-2476: Ivan Fratric (Google Project Zero)

CVE-2017-2481: Trend Micron Zero Day Initiativen parissa työskentelevä 0011

Kohta päivitetty 20.6.2017

WebKit

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-2415: Kai Kang (Tencentin Xuanwu Lab, tencent.com)

WebKit

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa sisältöturvallisuuskäytännön odottamattomaan käytöstä poistamiseen.

Kuvaus: Sisältöturvallisuuskäytännössä oli käyttöongelma.  Ongelma on ratkaistu parantamalla käyttörajoituksia.

CVE-2017-2419: Nicolai Grødum (Cisco Systems)

WebKit

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa muistin suureen käyttöön.

Kuvaus: Resurssien hallitsemattoman kulutuksen ongelma ratkaistiin parantamalla säännöllisten lausekkeiden käsittelyä.

CVE-2016-9643: Gustavo Grieco

WebKit

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa prosessimuistin paljastumiseen.

Kuvaus: OpenGL-varjostinten käsittelyssä oli tietojen paljastumiseen liittyvä ongelma. Ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2017-2424: Paul Thomson (GLFuzz-työkalun avulla) (Multicore Programming Group, Imperial College London)

WebKit

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-2433: Apple

WebKit

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi vuotaa tietoja eri alkuperien kesken.

Kuvaus: Sivun lataamisen käsittelyssä esiintyi useita validointiongelmia. Ongelma on ratkaistu parantamalla logiikkaa.

CVE-2017-2364: lokihardt (Google Project Zero)

WebKit

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.

Vaikutus: Haitallinen verkkosivusto saattoi vuotaa tietoja eri alkuperien kesken.

Kuvaus: Sivujen lataamisen käsittelyssä oli vahvistusongelma. Ongelma on ratkaistu parantamalla logiikkaa.

CVE-2017-2367: lokihardt (Google Project Zero)

WebKit

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa yleisten sivustojen välisten komentosarjojen suorittamiseen.

Kuvaus: Kehysobjektien käsittelyssä oli logiikkaongelma. Ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2017-2445: lokihardt (Google Project Zero)

WebKit

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Strict mode -toimintojen käsittelyssä oli logiikkaongelma. Ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2017-2446: Natalie Silvanovich (Google Project Zero)

WebKit

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.

Vaikutus: Haitallisella verkkosivustolla käyminen saattoi vaarantaa käyttäjätiedot.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-2447: Natalie Silvanovich (Google Project Zero)

WebKit

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-2463: Trend Micron Zero Day Initiativen parissa työskentelevä Kai Kang (4B5F5F4B) (Tencentin Xuanwu Lab, tencent.com)

Kohta lisätty 28.3.2017

WebKit

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Vapaan tilan jälkeisen käytön ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2017-2471: Ivan Fratric (Google Project Zero)

WebKit

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa yleisten sivustojen välisten komentosarjojen suorittamiseen.

Kuvaus: Kehysten käsittelyssä oli logiikkaongelma. Ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2017-2475: lokihardt (Google Project Zero)

WebKit

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi vuotaa tietoja eri alkuperien kesken.

Kuvaus: Elementtien käsittelyssä esiintyi validointiongelma. Ongelma on ratkaistu parantamalla validointia.

CVE-2017-2479: lokihardt (Google Project Zero)

Kohta lisätty 28.3.2017

WebKit

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi vuotaa tietoja eri alkuperien kesken.

Kuvaus: Elementtien käsittelyssä esiintyi validointiongelma. Ongelma on ratkaistu parantamalla validointia.

CVE-2017-2480: lokihardt (Google Project Zero)

CVE-2017-2493: lokihardt (Google Project Zero)

Kohta päivitetty 24.4.2017

WebKit

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.

Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen.

Kuvaus: Epäyhdenmukaisen käyttöliittymän ongelma on korjattu parantamalla tilanhallintaa.

CVE-2017-2486: nimetön tutkija

Kohta lisätty 30.3.2017

WebKit

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-2392: Max Bazaliy (Lookout)

Kohta lisätty 30.3.2017

WebKit

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-2457: lokihardt (Google Project Zero)

Kohta lisätty 30.3.2017

WebKit

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-7071: Trend Micron Zero Day Initiativen parissa työskentelevä Kai Kang (4B5F5F4B) (Tencentin Xuanwu Lab, tencent.com) 

Kohta lisätty 23.8.2017

WebKitin JavaScript-sidonnat

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi vuotaa tietoja eri alkuperien kesken.

Kuvaus: Sivun lataamisen käsittelyssä esiintyi useita validointiongelmia. Ongelma on ratkaistu parantamalla logiikkaa.

CVE-2017-2442: lokihardt (Google Project Zero)

WebKit-verkkoinspektori

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.

Vaikutus: Ikkunan sulkeminen virheenkorjauksen ollessa keskeytettynä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-2377: Vicki Pfau

WebKit-verkkoinspektori

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.4.

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-2405: Apple

Kiitokset

Safari

Haluamme kiittää Flyin9:ää (ZhenHui Lee) hänen avustaan.

WebKit

Haluamme kiittää Yosuke HASEGAWAa (Secure Sky Technology Inc.) hänen avustaan.

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: