Informacije o sigurnosnom sadržaju sustava Safari 10

U ovom se dokumentu opisuje sigurnosni sadržaj sustava Safari 10.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Safari 10

Objavljeno 20. rujna 2016.

Čitač za Safari

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12

Učinak: omogućivanjem značajke čitača za Safari na zlonamjernoj web-stranici moglo se izazvati unakrsno skriptiranje

Opis: problemi s višestrukom provjerom riješeni su boljim čišćenjem unosa.

CVE-2016-4618: Erling Ellingsen

Unos je ažuriran 23. rujna 2016.

Safari kartice

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12

Učinak: posjet zlonamjernom web-mjestu može izazvati krivotvorenje adresne trake

Opis: problem s upravljanjem stanjem postojao je prilikom upravljanja sesijama kartice. Problem je riješen putem upravljanja stanjem sesije.

CVE-2016-4751: Daniel Chatfield (Monzo Bank)

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: u rukovanju prototipima pogrešaka pojavio se problem s parsiranjem. Taj je problem riješen poboljšanom provjerom valjanosti.

CVE-2016-4728: Daniel Divricean

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12

Učinak: posjetom zlonamjernom web-mjestu mogu se odati osjetljivi podaci

Opis: u rukovanju varijablom lokacije otkriven je problem s dozvolama. Riješen je putem dodatnih provjera vlasništva.

CVE-2016-4758: Masato Kinugawa (Cure53)

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2016-4611: Apple

CVE-2016-4729: Apple

CVE-2016-4730: Apple

CVE-2016-4731: Apple

CVE-2016-4734: natashenka (Google Project Zero)

CVE-2016-4735: André Bargull

CVE-2016-4737: Apple

CVE-2016-4759: Tongbo Luo (Palo Alto Networks)

CVE-2016-4762: Zheng Huang (Baidu Security Lab)

CVE-2016-4766: Apple

CVE-2016-4767: Apple

CVE-2016-4768: anonimni istraživač i inicijativa Zero Day (Trend Micro)

CVE-2016-4769: Tongbo Luo (Palo Alto Networks)

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12

Učinak: neka zlonamjerna web-mjesta mogla su pristupiti servisima bez HTTP protokola

Opis: podrška za Safari za HTTP/0.9 dopustila je unakrsno iskorištavanje servisa bez HTTP protokola pomoću ponovnog povezivanja DNS-a. Problem je riješen ograničavanjem HTTP/0.9 odgovora na zadane priključke i otkazivanjem opterećenja resursa ako je dokument učitan s drugom verzijom HTTP protokola.

CVE-2016-4760: Jordan Milne

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: nekoliko problema s oštećenom memorijom riješeno je boljim upravljanjem stanjem.

CVE-2016-4733: natashenka (Google Project Zero)

CVE-2016-4765: Apple

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12

Učinak: napadač s mrežnim ovlastima može presresti i mijenjati mrežni promet prema aplikacijama kada koristi WKWebView uz HTTPS

Opis: u rukovanju objektom WKWebView otkriven je problem s provjerom valjanosti certifikata. Problem je riješen poboljšanom provjerom valjanosti.

CVE-2016-4763: anonimni istraživač

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: nekoliko problema s oštećenom memorijom riješeno je boljim upravljanjem stanjem.

CVE-2016-4764: Apple

Unos dodan 3. studenog 2016.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: