אודות תוכן האבטחה של Safari 10

מסמך זה מתאר את תוכן האבטחה של Safari 10.

אודות עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.

למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple. ניתן להצפין תקשורת עם Apple באמצעות 'מפתח PGP לאבטחת מוצר' של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

Safari 10

הופץ ב-20 בספטמבר 2016

הקורא של Safari

זמין עבור: OS X Yosemite v10.10.5, ‏OS X El Capitan v10.11.6 ו-macOS Sierra 10.12

השפעה: הפעלת התכונה 'הקורא של Safari' בדף אינטרנט זדוני עשויה להוביל ל-scripting אוניברסלי בין אתרים

תיאור: מספר בעיות אימות טופלו באמצעות סניטציה משופרת של קלט.

CVE-2016-4618: ארלינג אלינגסן

הערך עודכן ב-23 בספטמבר 2016

כרטיסיות Safari

זמין עבור: OS X Yosemite v10.10.5, ‏OS X El Capitan v10.11.6 ו-macOS Sierra 10.12

השפעה: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות

תיאור: בטיפול בהפעלת כרטיסיות הייתה בעיית ניהול מצבים. בעיה זו טופלה באמצעות ניהול מצבים של הפעלות.

CVE-2016-4751: דניאל צ'אטפילד מ-Monzo Bank

WebKit

זמין עבור: OS X Yosemite v10.10.5, ‏OS X El Capitan v10.11.6 ו-macOS Sierra 10.12

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בטיפול באבות טיפוס של שגיאות הייתה בעיית ניתוח. הבעיה טופלה באמצעות אימות משופר.

CVE-2016-4728: דניאל דיבריציאן

WebKit

זמין עבור: OS X Yosemite v10.10.5, ‏OS X El Capitan v10.11.6 ו-macOS Sierra 10.12

השפעה: ביקור באתר בעל מבנה זדוני עלול להדליף נתונים רגישים

תיאור: בטיפול במשתנה המיקום הייתה בעיית הרשאות. בעיה זו טופלה באמצעות בדיקות נוספות של הבעלות.

CVE-2016-4758: מסאטו קינוגאווה מ-Cure53

WebKit

זמין עבור: OS X Yosemite v10.10.5, ‏OS X El Capitan v10.11.6 ו-macOS Sierra 10.12

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.

CVE-2016-4611:‏ Apple

CVE-2016-4729:‏ Apple

CVE-2016-4730:‏ Apple

CVE-2016-4731:‏ Apple

CVE-2016-4734: נטאשנקה מ-Google Project Zero

CVE-2016-4735: אנדרה ברגול

CVE-2016-4737:‏ Apple

CVE-2016-4759: טונגבו לואו מ-Palo Alto Networks

CVE-2016-4762: ז'נג חואנג מ-Baidu Security Lab

CVE-2016-4766:‏ Apple

CVE-2016-4767:‏ Apple

CVE-2016-4768: אנונימי בעבודה עם Zero Day Initiative של Trend Micro

CVE-2016-4769: טונגבו לואו מ-Palo Alto Networks

WebKit

זמין עבור: OS X Yosemite v10.10.5, ‏OS X El Capitan v10.11.6 ו-macOS Sierra 10.12

השפעה: אתר זדוני עלול להצליח לגשת לשירותים שאינם מסוג HTTP

תיאור: התמיכה של Safari ב-HTTP/0.9 אפשרה ניצול של מספר פרוטוקולי שירותים שאינם מסוג HTTP באמצעות איגוד מחדש של DNS. הבעיה טופלה באמצעות הגבלת תגובות של HTTP/0.9 ליציאות המוגדרות כברירת מחדל וביטול טעינת משאבים אם המסמך נטען באמצעות גרסה שונה של פרוטוקול HTTP.

CVE-2016-4760: ג'ורדן מילנה

WebKit

זמין עבור: OS X Yosemite v10.10.5, ‏OS X El Capitan v10.11.6 ו-macOS Sierra 10.12

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיות מרובות בזיכרון פגום טופלו באמצעות ניהול מצב משופר.

CVE-2016-4733: נטאשנקה מ-Google Project Zero

CVE-2016-4765:‏ Apple

WebKit

זמין עבור: OS X Yosemite v10.10.5, ‏OS X El Capitan v10.11.6 ו-macOS Sierra 10.12

השפעה: תוקף במיקום מורשה ברשת עלול להצליח ליירט ולשנות תעבורת רשת לאפליקציות באמצעות WKWebView עם HTTPS

תיאור: בטיפול ב-WKWebView הייתה בעיית אימות אישורים. בעיה זו טופלה באמצעות אימות משופר.

CVE-2016-4763: חוקר אנונימי

WebKit

זמין עבור: OS X Yosemite v10.10.5, ‏OS X El Capitan v10.11.6 ו-macOS Sierra 10.12

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיות מרובות בזיכרון פגום טופלו באמצעות ניהול מצב משופר.

CVE-2016-4764:‏ Apple

הערך נוסף ב-3 בנובמבר 2016

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

תאריך פרסום: