Informacije o sigurnosnom sadržaju sustava Safari 10.1

U ovom se dokumentu opisuje sigurnosni sadržaj sustava Safari 10.1.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Safari 10.1

Objavljeno 27. ožujka 2017.

Jezgrena grafika

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-2444: Mei Wang (360 GearTeam)

JavaScriptCore

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem je riješen poboljšanim upravljanjem memorijom.

CVE-2017-2491: Apple

Unos dodan 2. svibnja 2017.

JavaScriptCore

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjerne web-stranice moglo je doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: problem s prototipom riješen je poboljšanjem logike.

CVE-2017-2492: lokihardt (Google Project Zero)

Unos ažuriran 24. travnja 2017.

Safari

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: posjet zlonamjernom web-mjestu može izazvati krivotvorenje adresne trake

Opis: problem s upravljanjem stanjem riješen je onemogućivanjem unosa teksta tijekom učitavanja odredišne stranice.

CVE-2017-2376: anonimni istraživač, Chris Hlady (Google Inc), Yuyang Zhou (Tencentov odjel sigurnosne platforme (security.tencent.com)), Muneaki Nishimura (nishimunea) (Recruit Technologies Co., Ltd.), Michal Zalewski (Google Inc), anonimni istraživač

Safari

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja na proizvoljnim web-mjestima mogli su se pojaviti listovi za provjeru autentičnosti

Opis: u rukovanju provjerom autentičnosti za HTTP otkriven je problem s krivotvorenjem i odbijanjem usluge. Taj je problem riješen nemodalnim listovima za provjeru autentičnosti za HTTP.

CVE-2017-2389: ShenYeYinJiu (Tencentov pozivni centar za sigurnosna pitanja, TSRC)

Safari

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: na zlonamjernom web-mjestu klikom na vezu moglo se krivotvoriti sučelje

Opis: u rukovanju upitima za FaceTime otkriven je problem s krivotvorenjem. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-2453: xisigr (Tencentov odjel Xuanwu Lab (tencent.com))

Automatska ispuna prilikom prijave u pregledniku Safari

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: lokalni korisnik možda će moći pristupiti zaključanim stavkama privjeska ključeva

Opis: problem s upravljanjem privjeskom ključeva riješen je poboljšanim upravljanjem stavkom privjeska ključeva.

CVE-2017-2385: Simon Woodside (MedStack)

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: povlačenje i ispuštanje zlonamjerne veze moglo bi dovesti do krivotvorene knjižne oznake ili izvršavanja proizvoljnog koda

Opis: u stvaranju knjižne oznake otkriven je problem s provjerom valjanosti. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-2378: xisigr (Tencentov odjel Xuanwu Lab (tencent.com))

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja mogli su se otkriti svi izvori podataka

Opis: problem s pristupom prototipu riješen je poboljšanim upravljanjem iznimkama.

CVE-2017-2386: André Bargull

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-2394: Apple

CVE-2017-2396: Apple

CVE-2016-9642: Gustavo Grieco

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2017-2395: Apple

CVE-2017-2454: Ivan Fratrić (Google Project Zero), Zheng Huang (Baidu Security Lab) u suradnji s inicijativom Zero Day (Trend Micro)

CVE-2017-2455: Ivan Fratrić (Google Project Zero)

CVE-2017-2459: Ivan Fratrić (Google Project Zero)

CVE-2017-2460: Ivan Fratrić (Google Project Zero)

CVE-2017-2464: Jeonghoon Shin, natashenka (Google Project Zero)

CVE-2017-2465: Zheng Huang i Wei Yuan (Baidu Security Lab)

CVE-2017-2466: Ivan Fratrić (Google Project Zero)

CVE-2017-2468: lokihardt (Google Project Zero)

CVE-2017-2469: lokihardt (Google Project Zero)

CVE-2017-2470: lokihardt (Google Project Zero)

CVE-2017-2476: Ivan Fratrić (Google Project Zero)

CVE-2017-2481: 0011 i inicijativa Zero Day (Trend Micro)

Unos ažuriran 20. lipnja 2017.

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.

CVE-2017-2415: Kai Kang (Tencentov odjel Xuanwu Lab (tencent.com))

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja mogao se potaknuti nenametnuti pravilnik o sigurnosti sadržaja

Opis: u pravilniku o sigurnosti sadržaja otkriven je problem s pristupom. Problem je riješen povećanjem ograničenja pristupa.

CVE-2017-2419: Nicolai Grødum (Cisco Systems)

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do velike potrošnje memorije

Opis: problem s nekontroliranom potrošnjom resursa riješen je poboljšanom obradom regularnih izraza.

CVE-2016-9643: Gustavo Grieco

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja može se otkriti procesna memorija

Opis: u obradi OpenGL shader programa otkriven je problem s otkrivanjem podataka. Taj je problem riješen poboljšanim upravljanjem memorijom.

CVE-2017-2424: Paul Thomson (pomoću GLFuzz alata) (Multicore Programming Group, Imperial College London)

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-2433: Apple

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja mogli su se otkriti svi izvori podataka

Opis: u rukovanju učitavanjem stranice otkriveno je više problema s provjerom valjanosti. Problem je riješen poboljšanom logikom.

CVE-2017-2364: lokihardt (Google Project Zero)

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: zlonamjerne internetske stranice mogle su doznati sve izvore podataka

Opis: u rukovanju učitavanjem stranice otkriven je problem s provjerom valjanosti. Problem je riješen poboljšanom logikom.

CVE-2017-2367: lokihardt (Google Project Zero)

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: u rukovanju objektima okvira pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2017-2445: lokihardt (Google Project Zero)

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: u rukovanju funkcijama u strogom načinu pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2017-2446: natashenka (Google Project Zero)

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: posjetom zlonamjernom web-mjestu mogli su se ugroziti korisnički podaci

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-2447: natashenka (Google Project Zero)

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2017-2463: Kai Kang (4B5F5F4B) (Tencentov odjel Xuanwu Lab (tencent.com)) i inicijativa Zero Day (Trend Micro)

Unos dodan 28. ožujka 2017.

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem je riješen poboljšanim upravljanjem memorijom.

CVE-2017-2471: Ivan Fratrić (Google Project Zero)

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: u rukovanju okvirima pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2017-2475: lokihardt (Google Project Zero)

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja mogli su se otkriti svi izvori podataka

Opis: u rukovanju elementima pojavio se problem s provjerom valjanosti. Problem je riješen poboljšanom provjerom valjanosti.

CVE-2017-2479: lokihardt (Google Project Zero)

Unos dodan 28. ožujka 2017.

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja mogli su se otkriti svi izvori podataka

Opis: u rukovanju elementima pojavio se problem s provjerom valjanosti. Problem je riješen poboljšanom provjerom valjanosti.

CVE-2017-2480: lokihardt (Google Project Zero)

CVE-2017-2493: lokihardt (Google Project Zero)

Unos ažuriran 24. travnja 2017.

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: posjet zlonamjernom web-mjestu može izazvati krivotvorenje adresne trake

Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.

CVE-2017-2486: anonimni istraživač

Unos je dodan 30. ožujka 2017.

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: neke aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-2392: Max Bazaliy (Lookout)

Unos je dodan 30. ožujka 2017.

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2017-2457: lokihardt (Google Project Zero)

Unos je dodan 30. ožujka 2017.

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2017-7071: Kai Kang (4B5F5F4B) (Laboratorij Xuanwu, Tencent (tencent.com)) u suradnji s inicijativom Zero Day (Trend Micro)

Unos je dodan 23. kolovoza 2017.

Veze za JavaScript u web-kompletu

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja mogli su se otkriti svi izvori podataka

Opis: u rukovanju učitavanjem stranice otkriveno je više problema s provjerom valjanosti. Problem je riješen poboljšanom logikom.

CVE-2017-2442: lokihardt (Google Project Zero)

Web-inspektor za WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: zatvaranjem prozora tijekom pauziranja u alatu za uklanjanje pogrešaka moglo je doći do neočekivanog zatvaranja aplikacija

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-2377: Vicki Pfau

Web-inspektor za WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-2405: Apple

Dodatna zahvala

Safari

Na pomoći zahvaljujemo grupi s foruma Flyin9 (ZhenHui Lee).

Webkit

Na pomoći zahvaljujemo Yosukeu HASEGAWI iz tvrtke Secure Sky Technology Inc.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: