Informacije o sigurnosnom sadržaju sustava Safari 10
U ovom se dokumentu opisuje sigurnosni sadržaj sustava Safari 10.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Safari 10
Čitač za Safari
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12
Učinak: omogućivanjem značajke čitača za Safari na zlonamjernoj web-stranici moglo se izazvati unakrsno skriptiranje
Opis: problemi s višestrukom provjerom riješeni su boljim čišćenjem unosa.
CVE-2016-4618: Erling Ellingsen
Safari kartice
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12
Učinak: posjet zlonamjernom web-mjestu može izazvati krivotvorenje adresne trake
Opis: problem s upravljanjem stanjem postojao je prilikom upravljanja sesijama kartice. Problem je riješen putem upravljanja stanjem sesije.
CVE-2016-4751: Daniel Chatfield (Monzo Bank)
WebKit
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: u rukovanju prototipima pogrešaka pojavio se problem s parsiranjem. Taj je problem riješen poboljšanom provjerom valjanosti.
CVE-2016-4728: Daniel Divricean
WebKit
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12
Učinak: posjetom zlonamjernom web-mjestu mogu se odati osjetljivi podaci
Opis: u rukovanju varijablom lokacije otkriven je problem s dozvolama. Riješen je putem dodatnih provjera vlasništva.
CVE-2016-4758: Masato Kinugawa (Cure53)
WebKit
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2016-4611: Apple
CVE-2016-4729: Apple
CVE-2016-4730: Apple
CVE-2016-4731: Apple
CVE-2016-4734: natashenka (Google Project Zero)
CVE-2016-4735: André Bargull
CVE-2016-4737: Apple
CVE-2016-4759: Tongbo Luo (Palo Alto Networks)
CVE-2016-4762: Zheng Huang (Baidu Security Lab)
CVE-2016-4766: Apple
CVE-2016-4767: Apple
CVE-2016-4768: anonimni istraživač i inicijativa Zero Day (Trend Micro)
CVE-2016-4769: Tongbo Luo (Palo Alto Networks)
WebKit
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12
Učinak: neka zlonamjerna web-mjesta mogla su pristupiti servisima bez HTTP protokola
Opis: podrška za Safari za HTTP/0.9 dopustila je unakrsno iskorištavanje servisa bez HTTP protokola pomoću ponovnog povezivanja DNS-a. Problem je riješen ograničavanjem HTTP/0.9 odgovora na zadane priključke i otkazivanjem opterećenja resursa ako je dokument učitan s drugom verzijom HTTP protokola.
CVE-2016-4760: Jordan Milne
WebKit
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: nekoliko problema s oštećenom memorijom riješeno je boljim upravljanjem stanjem.
CVE-2016-4733: natashenka (Google Project Zero)
CVE-2016-4765: Apple
WebKit
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12
Učinak: napadač s mrežnim ovlastima može presresti i mijenjati mrežni promet prema aplikacijama kada koristi WKWebView uz HTTPS
Opis: u rukovanju objektom WKWebView otkriven je problem s provjerom valjanosti certifikata. Problem je riješen poboljšanom provjerom valjanosti.
CVE-2016-4763: anonimni istraživač
WebKit
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: nekoliko problema s oštećenom memorijom riješeno je boljim upravljanjem stanjem.
CVE-2016-4764: Apple
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.