À propos des correctifs de sécurité de Safari 10.1

Ce document décrit les correctifs de sécurité de Safari 10.1.

À propos des mises à jour de sécurité Apple

Dans un souci de protection de ses clients, Apple s’abstient de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Les mises à jour récentes sont répertoriées à la page Mises à jour de sécurité Apple.

Pour obtenir plus d’informations en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple. Vous pouvez chiffrer les communications avec Apple à l’aide de la clé PGP du groupe de sécurité produit d’Apple.

Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE dans la mesure du possible.

Safari 10.1

Publié le 27 mars 2017

CoreGraphics

Disponible pour : OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 et macOS Sierra 10.12.4.

Conséquence : le traitement d’un contenu Web malveillant peut entraîner l’exécution arbitraire de code.

Description : plusieurs problèmes de corruption de la mémoire ont été résolus par une meilleure validation des entrées.

CVE-2017-2444 : Mei Wang de 360 GearTeam

JavaScriptCore

Disponible pour : OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 et macOS Sierra 10.12.4.

Conséquence : le traitement d’un contenu Web malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2017-2491 : Apple

Entrée ajoutée le 2 mai 2017

JavaScriptCore

Disponible pour : OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 et macOS Sierra 10.12.4.

Conséquence : le traitement d’une page Web malveillante peut provoquer une injection de code indirect universel (UXSS ou universal cross-site scripting).

Description : un problème de prototype a été résolu par une meilleure logique.

CVE-2017-2492 : lokihardt de Google Project Zero

Entrée mise à jour le 24 avril 2017

Safari

Disponible pour : OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 et macOS Sierra 10.12.4.

Conséquence : La consultation d’un site Web malveillant peut entraîner une utilisation détournée de la barre d’adresse.

Description : un problème de gestion des états a été résolu en désactivant la saisie de texte jusqu’au chargement de la page de destination.

CVE-2017-2376 : un chercheur anonyme, Chris Hlady de Google Inc, Yuyang Zhou de Tencent Security Platform Department (security.tencent.com), Muneaki Nishimura (nishimunea) de Recruit Technologies Co., Ltd., Michal Zalewski de Google Inc, un chercheur anonyme

Safari

Disponible pour : OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 et macOS Sierra 10.12.4.

Conséquence : le traitement d’un contenu Web malveillant peut présenter des feuilles d’authentification sur des sites Web arbitraires.

Description : la gestion de l’authentification HTTP présentait un problème d’usurpation et de déni de service. Ce problème a été résolu en rendant les feuilles d’authentification HTTP non modales.

CVE-2017-2389 : ShenYeYinJiu de Tencent Security Response Center, TSRC

Safari

Disponible pour : OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 et macOS Sierra 10.12.4.

Conséquences : la consultation d’un site web malveillant, ouvert après avoir cliqué sur un lien, peut entraîner une utilisation détournée de l’interface utilisateur

Description : la gestion des invites FaceTime présentait un problème d’usurpation. Ce problème a été résolu par une meilleure validation des entrées.

CVE-2017-2453 : xisigr du Xuanwu Lab de Tencent (tencent.com)

Remplissage automatique des champs d’identification sur Safari

Disponible pour : OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 et macOS Sierra 10.12.4.

Conséquence : un utilisateur local peut accéder à des éléments verrouillés du trousseau.

Description : un problème de gestion du trousseau a été résolu par une meilleure gestion de ses éléments.

CVE-2017-2385 : Simon Woodside de MedStack

WebKit

Disponible pour : OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 et macOS Sierra 10.12.4.

Conséquence : faire glisser et déposer un lien malveillant peut entraîner une utilisation détournée des signets ou l’exécution arbitraire de code.

Description : la création de signets présentait un problème de validation. Ce problème a été résolu par une meilleure validation des entrées.

CVE-2017-2378 : xisigr du Xuanwu Lab de Tencent (tencent.com)

WebKit

Disponible pour : OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 et macOS Sierra 10.12.4.

Conséquence : le traitement d’un contenu web malveillant peut extraire des données provenant d’origines multiples.

Description : un problème d’accès au prototype a été résolu par une meilleure gestion des exceptions.

CVE-2017-2386 : André Bargull

WebKit

Disponible pour : OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 et macOS Sierra 10.12.4.

Conséquence : le traitement d’un contenu Web malveillant peut entraîner l’exécution arbitraire de code.

Description : plusieurs problèmes de corruption de la mémoire ont été résolus par une meilleure validation des entrées.

CVE-2017-2394 : Apple

CVE-2017-2396 : Apple

CVE-2016-9642 : Gustavo Grieco

WebKit

Disponible pour : OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 et macOS Sierra 10.12.4.

Conséquence : le traitement d’un contenu Web malveillant peut entraîner l’exécution arbitraire de code.

Description : plusieurs problèmes de corruption de la mémoire ont été résolus par une meilleure gestion de celle-ci.

CVE-2017-2395 : Apple

CVE-2017-2454 : Ivan Fratric de Google Project Zero, Zheng Huang du Baidu Security Lab en collaboration avec le programme Zero Day Initiative de Trend Micro

CVE-2017-2455 : Ivan Fratric de Google Project Zero

CVE-2017-2459 : Ivan Fratric de Google Project Zero

CVE-2017-2460 : Ivan Fratric de Google Project Zero

CVE-2017-2464 : Jeonghoon Shin, natashenka de Google Project Zero

CVE-2017-2465 : Zheng Huang et Wei Yuan du Baidu Security Lab

CVE-2017-2466 : Ivan Fratric de Google Project Zero

CVE-2017-2468 : lokihardt de Google Project Zero

CVE-2017-2469 : lokihardt de Google Project Zero

CVE-2017-2470 : lokihardt de Google Project Zero

CVE-2017-2476 : Ivan Fratric de Google Project Zero

CVE-2017-2481 : 0011 en collaboration avec le programme Zero Day Initiative de Trend Micro

Entrée mise à jour le 20 juin 2017

WebKit

Disponible pour : OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 et macOS Sierra 10.12.4.

Conséquence : le traitement d’un contenu Web malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème de confusion liée aux types a été résolu par une meilleure gestion de la mémoire.

CVE-2017-2415 : Kai Kang du Xuanwu Lab de Tencent (tencent.com)

WebKit

Disponible pour : OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 et macOS Sierra 10.12.4.

Conséquence : le traitement d’un contenu Web malveillant peut entraîner la non-application inattendue de la politique de sécurité du contenu (CSP).

Description : la politique de sécurité du contenu présentait un problème d’accès. Ce problème a été résolu par un meilleur contrôle des restrictions d’accès.

CVE-2017-2419 : Nicolai Grødum de Cisco Systems

WebKit

Disponible pour : OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 et macOS Sierra 10.12.4.

Conséquence : le traitement d’un contenu Web malveillant peut entraîner une utilisation importante de la mémoire.

Description : un problème d’utilisation non contrôlée de ressources a été résolu par un meilleur traitement des expressions régulières.

CVE-2016-9643 : Gustavo Grieco

WebKit

Disponible pour : OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 et macOS Sierra 10.12.4.

Conséquence : le traitement d’un contenu web malveillant peut entraîner la divulgation du contenu de la mémoire de traitement.

Description : le traitement des shaders OpenGL présentait un problème de divulgation d’informations. Ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2017-2424 : Paul Thomson (via l’outil GLFuzz) du Multicore Programming Group, Imperial College London

WebKit

Disponible pour : OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 et macOS Sierra 10.12.4.

Conséquence : le traitement d’un contenu Web malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.

CVE-2017-2433 : Apple

WebKit

Disponible pour : OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 et macOS Sierra 10.12.4.

Conséquence : le traitement d’un contenu web malveillant peut extraire des données provenant d’origines multiples.

Description : la gestion du chargement des pages présentait plusieurs problèmes de validation. Ces problèmes ont été résolus par une meilleure logique.

CVE-2017-2364 : lokihardt de Google Project Zero

WebKit

Disponible pour : OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 et macOS Sierra 10.12.4.

Conséquence : un site web malveillant peut extraire des données provenant d’origines multiples

Description : la gestion du chargement des pages présentait un problème de validation. Ces problèmes ont été résolus par une meilleure logique.

CVE-2017-2367 : lokihardt de Google Project Zero

WebKit

Disponible pour : OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 et macOS Sierra 10.12.4.

Conséquence : le traitement d’un contenu web malveillant peut entraîner l’exécution universelle de scripts intersites.

Description : la gestion des objets de cadre présentait un problème de logique. Ce problème a été résolu par une meilleure gestion des états.

CVE-2017-2445 : lokihardt de Google Project Zero

WebKit

Disponible pour : OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 et macOS Sierra 10.12.4.

Conséquence : le traitement d’un contenu Web malveillant peut entraîner l’exécution arbitraire de code.

Description : la gestion des fonctions du mode strict présentait un problème de logique. Ce problème a été résolu par une meilleure gestion des états.

CVE-2017-2446 : natashenka de Google Project Zero

WebKit

Disponible pour : OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 et macOS Sierra 10.12.4.

Conséquence : la consultation d’un site Web malveillant peut compromettre des informations utilisateur.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion de celle-ci.

CVE-2017-2447 : natashenka de Google Project Zero

WebKit

Disponible pour : OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 et macOS Sierra 10.12.4.

Conséquence : le traitement d’un contenu Web malveillant peut entraîner l’exécution arbitraire de code.

Description : plusieurs problèmes de corruption de la mémoire ont été résolus par une meilleure gestion de celle-ci.

CVE-2017-2463 : Kai Kang (4B5F5F4B) du Xuanwu Lab de Tencent (tencent.com) en collaboration avec le programme Zero Day Initiative de Trend Micro

Entrée ajoutée le 28 mars 2017

WebKit

Disponible pour : OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 et macOS Sierra 10.12.4.

Conséquence : le traitement d’un contenu Web malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2017-2471 : Ivan Fratric de Google Project Zero

WebKit

Disponible pour : OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 et macOS Sierra 10.12.4.

Conséquence : le traitement d’un contenu web malveillant peut entraîner l’exécution universelle de scripts intersites.

Description : la gestion des cadres présentait un problème de logique. Ce problème a été résolu par une meilleure gestion des états.

CVE-2017-2475 : lokihardt de Google Project Zero

WebKit

Disponible pour : OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 et macOS Sierra 10.12.4.

Conséquence : le traitement d’un contenu web malveillant peut extraire des données provenant d’origines multiples.

Description : la gestion des éléments présentait un problème de validation. Il a été résolu par une meilleure validation.

CVE-2017-2479 : lokihardt de Google Project Zero

Entrée ajoutée le 28 mars 2017

WebKit

Disponible pour : OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 et macOS Sierra 10.12.4.

Conséquence : le traitement d’un contenu web malveillant peut extraire des données provenant d’origines multiples.

Description : la gestion des éléments présentait un problème de validation. Il a été résolu par une meilleure validation.

CVE-2017-2480 : lokihardt de Google Project Zero

CVE-2017-2493 : lokihardt de Google Project Zero

Entrée mise à jour le 24 avril 2017

WebKit

Disponible pour : OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 et macOS Sierra 10.12.4.

Conséquence : La consultation d’un site Web malveillant peut entraîner une utilisation détournée de la barre d’adresse.

Description : un problème d’incohérence de l’interface utilisateur a été résolu par une meilleure gestion des états.

CVE-2017-2486 : un chercheur anonyme

Entrée ajoutée le 30 mars 2017

WebKit

Disponible pour : OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 et macOS Sierra 10.12.4.

Conséquence : une application peut exécuter un code arbitraire

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion de celle-ci.

CVE-2017-2392 : Max Bazaliy de Lookout

Entrée ajoutée le 30 mars 2017

WebKit

Disponible pour : OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 et macOS Sierra 10.12.4.

Conséquence : le traitement d’un contenu Web malveillant peut entraîner l’exécution arbitraire de code.

Description : plusieurs problèmes de corruption de la mémoire ont été résolus par une meilleure gestion de celle-ci.

CVE-2017-2457 : lokihardt de Google Project Zero

Entrée ajoutée le 30 mars 2017

WebKit

Disponible pour : OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 et macOS Sierra 10.12.4.

Conséquence : le traitement d’un contenu Web malveillant peut entraîner l’exécution arbitraire de code.

Description : Plusieurs problèmes de corruption de la mémoire ont été résolus par une meilleure gestion de cette dernière.

CVE-2017-7071 : Kai Kang (4B5F5F4B) du Xuanwu Lab de Tencent (tencent.com) en collaboration avec le programme Zero Day Initiative de Trend Micro

Entrée ajoutée le 23 août 2017

Associations JavaScript WebKit

Disponible pour : OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 et macOS Sierra 10.12.4.

Conséquence : le traitement d’un contenu web malveillant peut extraire des données provenant d’origines multiples.

Description : la gestion du chargement des pages présentait plusieurs problèmes de validation. Ces problèmes ont été résolus par une meilleure logique.

CVE-2017-2442 : lokihardt de Google Project Zero

Inspecteur Web WebKit

Disponible pour : OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 et macOS Sierra 10.12.4.

Conséquence : la fermeture d’une fenêtre lors d’une pause dans le débogueur peut entraîner la fermeture inopinée d’une application.

Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.

CVE-2017-2377 : Vicki Pfau

Inspecteur Web WebKit

Disponible pour : OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 et macOS Sierra 10.12.4.

Conséquence : le traitement d’un contenu Web malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.

CVE-2017-2405 : Apple

Remerciements supplémentaires

Safari

Nous tenons à remercier Flyin9 (ZhenHui Lee) pour son aide.

WebKit

Nous tenons à remercier Yosuke Hasegawa de Secure Sky Technology Inc. pour son aide.

Les renseignements sur les produits qui ne sont pas fabriqués par Apple ou sur les sites Web indépendants qui ne sont pas gérés ou vérifiés par Apple sont fournis sans recommandation ni approbation de la part d’Apple. Apple se dégage de toute responsabilité quant à la sélection, au bon fonctionnement ou à l’utilisation de sites Web ou de produits de tiers. Apple ne fait aucune déclaration et n’offre aucune garantie quant à l’exactitude ou à la fiabilité de ces sites Web de tiers. Communiquez avec le vendeur pour de plus amples renseignements.

Date de publication: