אודות תוכן האבטחה של Safari 10.1
מסמך זה מתאר את תוכן האבטחה של Safari 10.1.
אודות עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.
למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple. ניתן להצפין תקשורת עם Apple באמצעות 'מפתח PGP לאבטחת מוצר' של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
Safari 10.1
CoreGraphics
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12.4
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות שיפור אימות הקלט.
CVE-2017-2444: מיי וואנג (Mei Wang) מ-360 GearTeam
JavaScriptCore
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12.4
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2017-2491: Apple
JavaScriptCore
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12.4
השפעה: עיבוד דף אינטרנט בעל מבנה זדוני עלול לגרום ל-Scripting אוניברסלי בין אתרים
תיאור: בעיית אב-טיפוס טופלה באמצעות לוגיקה משופרת.
CVE-2017-2492: lokihardt מ-Google Project Zero
Safari
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12.4
השפעה: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות
תיאור: בעיית ניהול מצבים טופלה באמצעות השבתת קלט טקסט עד לטעינת דף היעד.
CVE-2017-2376: חוקר אנונימי, כריס לאדי (Chris Hlady) מ-Google Inc, יויאנג ז'ו (Yuyang Zhou) מ-Tencent Security Platform Department (security.tencent.com), מנואקי נישימורה (Muneaki Nishimura) (nishimunea) מ-Recruit Technologies Co., Ltd., מיכל זלבסקי (Michal Zalewski) מ-Google Inc, חוקר אנונימי
Safari
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12.4
השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול להציג גיליונות אימות באתרי אינטרנט שרירותיים
תיאור: בטיפול של אימות HTTP הייתה בעיית זיוף ומניעת שירות. בעיה זו טופלה באמצעות יצירת רכיב לא מודאלי של גיליונות אימות HTTP.
CVE-2017-2389: ShenYeYinJiu מ-Tencent Security Response Center, TSRC
Safari
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12.4
השפעה: ביקור באתר אינטרנט זדוני על ידי לחיצה על קישור עלול להוביל להתחזות של ממשק משתמש
תיאור: בטיפול בבקשות FaceTime הייתה בעיית זיוף זהות. בעיה זו טופלה באמצעות אימות קלט משופר.
CVE-2017-2453: xisigr מ-Xuanwu Lab של Tencent (tencent.com)
מילוי אוטומטי של פרטי ההתחברות ל-Safari
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12.4
השפעה: משתמש מקומי עלול להצליח לגשת אל פריטי צרור מפתחות נעולים
תיאור: בעיית ניהול צרור מפתחות טופלה באמצעות ניהול משופר של פריטי צרור מפתחות.
CVE-2017-2385: סיימון וודסייד (Simon Woodside) מ-MedStack
WebKit
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12.4
השפעה: גרירה ושחרור של קישור בעל מבנה זדוני עלולים להוביל לזיוף סימניות או להפעלת קוד שרירותי
תיאור: הייתה בעיית אימות ביצירת סימניות. בעיה זו טופלה באמצעות אימות קלט משופר.
CVE-2017-2378: xisigr מ-Xuanwu Lab של Tencent (tencent.com)
WebKit
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12.4
השפעה: עיבוד של תוכן אינטרנט שנוצר למטרות זדוניות עלול להוביל לגניבת נתונים ממקורות שונים
תיאור: בעיית גישה לאב טיפוס טופלה באמצעות טיפול משופר בזיכרון.
CVE-2017-2386: אנדרה ברגול (André Bargull)
WebKit
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12.4
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות שיפור אימות הקלט.
CVE-2017-2394: Apple
CVE-2017-2396: Apple
CVE-2016-9642: גוסטבו גרייקו (Gustavo Grieco)
WebKit
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12.4
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.
CVE-2017-2395: Apple
CVE-2017-2454: איוון פרטריק (Ivan Fratric) מ-Google Project Zero, ז'נג הואנג (Zheng Huang) מ-Baidu Security Lab יחד עם Zero Day Initiative של Trend Micro
CVE-2017-2455: איוון פרטריק מ-Google Project Zero
CVE-2017-2459: איוון פרטריק מ-Google Project Zero
CVE-2017-2460: איוון פרטריק מ-Google Project Zero
CVE-2017-2464: ג'אונגהון שין (Jeonghoon Shin), natashenka מ-Google Project Zero
CVE-2017-2465: ויי יואן (Wei Yuan) וז'נג הואנג מ-Baidu Security Lab
CVE-2017-2466: איוון פרטריק מ-Google Project Zero
CVE-2017-2468: lokihardt מ-Google Project Zero
CVE-2017-2469: lokihardt מ-Google Project Zero
CVE-2017-2470: lokihardt מ-Google Project Zero
CVE-2017-2476: איוון פרטריק מ-Google Project Zero
CVE-2017-2481: 0011 יחד עם Zero Day Initiative של Trend Micro
WebKit
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12.4
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית בלבול סוגים טופלה באמצעות טיפול משופר בזיכרון.
CVE-2017-2415: קיי קאנג (Kai Kang) מ-Xuanwu Lab של Tencent (tencent.com)
WebKit
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12.4
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל למדיניות אבטחת תוכן לא כפויה באופן בלתי צפוי
תיאור: בעיית גישה הייתה קיימת במדיניות אבטחת תוכן. בעיה זו טופלה באמצעות הגבלות גישה משופרות.
CVE-2017-2419: ניקולאי גרודום (Nicolai Grødum) מ-Cisco Systems
WebKit
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12.4
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לצריכה גבוהה של זיכרון
תיאור: בעיית צריכת משאבים לא מבוקרת טופלה באמצעות עיבוד משופר של ביטוי רגולרי.
CVE-2016-9643: גוסטבו גרייקו
WebKit
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12.4
השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך
תיאור: בעיבוד של פריטי Shader ב-OpenGL הייתה בעיה של חשיפת מידע. בעיה זו טופלה באמצעות ניהול זיכרון משופר.
CVE-2017-2424: פול תומסון (Paul Thomson) (באמצעות הכלי GLFuzz) מ-Multicore Programming Group, אימפריאל קולג' לונדון
WebKit
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12.4
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית השחתת זיכרון טופלה באמצעות אימות קלט משופר.
CVE-2017-2433: Apple
WebKit
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12.4
השפעה: עיבוד של תוכן אינטרנט שנוצר למטרות זדוניות עלול להוביל לגניבת נתונים ממקורות שונים
תיאור: בטיפול בטעינת דף היו בעיות אימות מרובות. בעיה זו טופלה באמצעות לוגיקה משופרת.
CVE-2017-2364: lokihardt מ-Google Project Zero
WebKit
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12.4
השפעה: אתר אינטרנט זדוני עלול לחלץ מקורות מרובים של נתונים
תיאור: בטיפול בטעינת עמוד הייתה בעיית אימות. בעיה זו טופלה באמצעות לוגיקה משופרת.
CVE-2017-2367: lokihardt מ-Google Project Zero
WebKit
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12.4
השפעה: עיבוד תוכן אינטרנטי בעל מבנה זדוני עלול לגרום ל-Scripting אוניברסלי בין אתרים
תיאור: בטיפול באובייקטי מסגרת הייתה בעיה לוגית. בעיה זו טופלה באמצעות ניהול מצב משופר.
CVE-2017-2445: lokihardt מ-Google Project Zero
WebKit
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12.4
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בטיפול בפונקציות Strict Mode הייתה בעיה לוגית. בעיה זו טופלה באמצעות ניהול מצב משופר.
CVE-2017-2446: natashenka מ-Google Project Zero
WebKit
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12.4
השפעה: ביקור באתר בעל מבנה זדוני עלול להעמיד בסכנה פרטי משתמש
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2017-2447: natashenka מ-Google Project Zero
WebKit
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12.4
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.
CVE-2017-2463: קיי קאנג (4B5F5F4B) מ-Xuanwu Lab של Tencent (tencent.com) יחד עם Zero Day Initiative של Trend Micro
WebKit
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12.4
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2017-2471: איוון פרטריק מ-Google Project Zero
WebKit
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12.4
השפעה: עיבוד תוכן אינטרנטי בעל מבנה זדוני עלול לגרום ל-Scripting אוניברסלי בין אתרים
תיאור: בטיפול במסגרות הייתה בעיה לוגית. בעיה זו טופלה באמצעות ניהול מצבים משופר.
CVE-2017-2475: lokihardt מ-Google Project Zero
WebKit
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12.4
השפעה: עיבוד של תוכן אינטרנט שנוצר למטרות זדוניות עלול להוביל לגניבת נתונים ממקורות שונים
תיאור: בטיפול ברכיבים הייתה בעיית אימות. בעיה זו טופלה באמצעות אימות משופר.
CVE-2017-2479: lokihardt מ-Google Project Zero
WebKit
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12.4
השפעה: עיבוד של תוכן אינטרנט שנוצר למטרות זדוניות עלול להוביל לגניבת נתונים ממקורות שונים
תיאור: בטיפול ברכיבים הייתה בעיית אימות. בעיה זו טופלה באמצעות אימות משופר.
CVE-2017-2480: lokihardt מ-Google Project Zero
CVE-2017-2493: lokihardt מ-Google Project Zero
WebKit
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12.4
השפעה: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות
תיאור: בעיה של חוסר עקביות בממשק המשתמש טופלה באמצעות ניהול מצבים משופר.
CVE-2017-2486: חוקר אנונימי
WebKit
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12.4
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2017-2392: מקס בזאלי (Max Bazaliy) מ-Lookout
WebKit
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12.4
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.
CVE-2017-2457: lokihardt מ-Google Project Zero
WebKit
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12.4
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.
CVE-2017-7071: קיי קאנג (4B5F5F4B) מ-Xuanwu Lab של Tencent (tencent.com) יחד עם Zero Day Initiative של Trend Micro
WebKit JavaScript Bindings
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12.4
השפעה: עיבוד של תוכן אינטרנט שנוצר למטרות זדוניות עלול להוביל לגניבת נתונים ממקורות שונים
תיאור: בטיפול בטעינת דף היו בעיות אימות מרובות. בעיה זו טופלה באמצעות לוגיקה משופרת.
CVE-2017-2442: lokihardt מ-Google Project Zero
WebKit Web Inspector
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12.4
השפעה: סגירת חלון בזמן השהיה במנפה הבאגים עלולה להוביל לסיום בלתי צפוי של יישום
תיאור: בעיית השחתת זיכרון טופלה באמצעות אימות קלט משופר.
CVE-2017-2377: ויקי פאו (Vicki Pfau)
WebKit Web Inspector
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12.4
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית השחתת זיכרון טופלה באמצעות אימות קלט משופר.
CVE-2017-2405: Apple
תודות נוספות
Safari
אנחנו מבקשים להודות ל-Flyin9 (ZhenHui Lee) על הסיוע.
Webkit
אנחנו מבקשים להודות ליוסוקה הסגאווה (Yosuke HASEGAWA) מ-Secure Sky Technology Inc. על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.