Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Safari 10.1
Objavljeno 27. ožujka 2017.
Jezgrena grafika
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2444: Mei Wang (360 GearTeam)
JavaScriptCore
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim upravljanjem memorijom.
CVE-2017-2491: Apple
Unos dodan 2. svibnja 2017.
JavaScriptCore
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4
Učinak: obradom zlonamjerne web-stranice moglo je doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: problem s prototipom riješen je poboljšanjem logike.
CVE-2017-2492: lokihardt (Google Project Zero)
Unos ažuriran 24. travnja 2017.
Safari
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4
Učinak: posjet zlonamjernom web-mjestu može izazvati krivotvorenje adresne trake
Opis: problem s upravljanjem stanjem riješen je onemogućivanjem unosa teksta tijekom učitavanja odredišne stranice.
CVE-2017-2376: anonimni istraživač, Chris Hlady (Google Inc), Yuyang Zhou (Tencentov odjel sigurnosne platforme (security.tencent.com)), Muneaki Nishimura (nishimunea) (Recruit Technologies Co., Ltd.), Michal Zalewski (Google Inc), anonimni istraživač
Safari
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4
Učinak: obradom zlonamjernog web-sadržaja na proizvoljnim web-mjestima mogli su se pojaviti listovi za provjeru autentičnosti
Opis: u rukovanju provjerom autentičnosti za HTTP otkriven je problem s krivotvorenjem i odbijanjem usluge. Taj je problem riješen nemodalnim listovima za provjeru autentičnosti za HTTP.
CVE-2017-2389: ShenYeYinJiu (Tencentov pozivni centar za sigurnosna pitanja, TSRC)
Safari
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4
Učinak: na zlonamjernom web-mjestu klikom na vezu moglo se krivotvoriti sučelje
Opis: u rukovanju upitima za FaceTime otkriven je problem s krivotvorenjem. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2453: xisigr (Tencentov odjel Xuanwu Lab (tencent.com))
Automatska ispuna prilikom prijave u pregledniku Safari
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4
Učinak: lokalni korisnik možda će moći pristupiti zaključanim stavkama privjeska ključeva
Opis: problem s upravljanjem privjeskom ključeva riješen je poboljšanim upravljanjem stavkom privjeska ključeva.
CVE-2017-2385: Simon Woodside (MedStack)
WebKit
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4
Učinak: povlačenje i ispuštanje zlonamjerne veze moglo bi dovesti do krivotvorene knjižne oznake ili izvršavanja proizvoljnog koda
Opis: u stvaranju knjižne oznake otkriven je problem s provjerom valjanosti. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2378: xisigr (Tencentov odjel Xuanwu Lab (tencent.com))
WebKit
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4
Učinak: obradom zlonamjernog web-sadržaja mogli su se otkriti svi izvori podataka
Opis: problem s pristupom prototipu riješen je poboljšanim upravljanjem iznimkama.
CVE-2017-2386: André Bargull
WebKit
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2394: Apple
CVE-2017-2396: Apple
CVE-2016-9642: Gustavo Grieco
WebKit
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2017-2395: Apple
CVE-2017-2454: Ivan Fratrić (Google Project Zero), Zheng Huang (Baidu Security Lab) u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2017-2455: Ivan Fratrić (Google Project Zero)
CVE-2017-2459: Ivan Fratrić (Google Project Zero)
CVE-2017-2460: Ivan Fratrić (Google Project Zero)
CVE-2017-2464: Jeonghoon Shin, natashenka (Google Project Zero)
CVE-2017-2465: Zheng Huang i Wei Yuan (Baidu Security Lab)
CVE-2017-2466: Ivan Fratrić (Google Project Zero)
CVE-2017-2468: lokihardt (Google Project Zero)
CVE-2017-2469: lokihardt (Google Project Zero)
CVE-2017-2470: lokihardt (Google Project Zero)
CVE-2017-2476: Ivan Fratrić (Google Project Zero)
CVE-2017-2481: 0011 i inicijativa Zero Day (Trend Micro)
Unos ažuriran 20. lipnja 2017.
WebKit
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.
CVE-2017-2415: Kai Kang (Tencentov odjel Xuanwu Lab (tencent.com))
WebKit
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4
Učinak: obradom zlonamjernog web-sadržaja mogao se potaknuti nenametnuti pravilnik o sigurnosti sadržaja
Opis: u pravilniku o sigurnosti sadržaja otkriven je problem s pristupom. Problem je riješen povećanjem ograničenja pristupa.
CVE-2017-2419: Nicolai Grødum (Cisco Systems)
WebKit
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do velike potrošnje memorije
Opis: problem s nekontroliranom potrošnjom resursa riješen je poboljšanom obradom regularnih izraza.
CVE-2016-9643: Gustavo Grieco
WebKit
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4
Učinak: obradom zlonamjernog web-sadržaja može se otkriti procesna memorija
Opis: u obradi OpenGL shader programa otkriven je problem s otkrivanjem podataka. Taj je problem riješen poboljšanim upravljanjem memorijom.
CVE-2017-2424: Paul Thomson (pomoću GLFuzz alata) (Multicore Programming Group, Imperial College London)
WebKit
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2433: Apple
WebKit
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4
Učinak: obradom zlonamjernog web-sadržaja mogli su se otkriti svi izvori podataka
Opis: u rukovanju učitavanjem stranice otkriveno je više problema s provjerom valjanosti. Problem je riješen poboljšanom logikom.
CVE-2017-2364: lokihardt (Google Project Zero)
WebKit
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4
Učinak: zlonamjerne internetske stranice mogle su doznati sve izvore podataka
Opis: u rukovanju učitavanjem stranice otkriven je problem s provjerom valjanosti. Problem je riješen poboljšanom logikom.
CVE-2017-2367: lokihardt (Google Project Zero)
WebKit
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4
Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: u rukovanju objektima okvira pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2017-2445: lokihardt (Google Project Zero)
WebKit
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: u rukovanju funkcijama u strogom načinu pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2017-2446: natashenka (Google Project Zero)
WebKit
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4
Učinak: posjetom zlonamjernom web-mjestu mogli su se ugroziti korisnički podaci
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-2447: natashenka (Google Project Zero)
WebKit
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2017-2463: Kai Kang (4B5F5F4B) (Tencentov odjel Xuanwu Lab (tencent.com)) i inicijativa Zero Day (Trend Micro)
Unos dodan 28. ožujka 2017.
WebKit
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim upravljanjem memorijom.
CVE-2017-2471: Ivan Fratrić (Google Project Zero)
WebKit
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4
Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: u rukovanju okvirima pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2017-2475: lokihardt (Google Project Zero)
WebKit
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4
Učinak: obradom zlonamjernog web-sadržaja mogli su se otkriti svi izvori podataka
Opis: u rukovanju elementima pojavio se problem s provjerom valjanosti. Problem je riješen poboljšanom provjerom valjanosti.
CVE-2017-2479: lokihardt (Google Project Zero)
Unos dodan 28. ožujka 2017.
WebKit
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4
Učinak: obradom zlonamjernog web-sadržaja mogli su se otkriti svi izvori podataka
Opis: u rukovanju elementima pojavio se problem s provjerom valjanosti. Problem je riješen poboljšanom provjerom valjanosti.
CVE-2017-2480: lokihardt (Google Project Zero)
CVE-2017-2493: lokihardt (Google Project Zero)
Unos ažuriran 24. travnja 2017.
WebKit
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4
Učinak: posjet zlonamjernom web-mjestu može izazvati krivotvorenje adresne trake
Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.
CVE-2017-2486: anonimni istraživač
Unos je dodan 30. ožujka 2017.
WebKit
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4
Učinak: neke aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-2392: Max Bazaliy (Lookout)
Unos je dodan 30. ožujka 2017.
WebKit
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2017-2457: lokihardt (Google Project Zero)
Unos je dodan 30. ožujka 2017.
WebKit
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2017-7071: Kai Kang (4B5F5F4B) (Laboratorij Xuanwu, Tencent (tencent.com)) u suradnji s inicijativom Zero Day (Trend Micro)
Unos je dodan 23. kolovoza 2017.
Veze za JavaScript u web-kompletu
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4
Učinak: obradom zlonamjernog web-sadržaja mogli su se otkriti svi izvori podataka
Opis: u rukovanju učitavanjem stranice otkriveno je više problema s provjerom valjanosti. Problem je riješen poboljšanom logikom.
CVE-2017-2442: lokihardt (Google Project Zero)
Web-inspektor za WebKit
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4
Učinak: zatvaranjem prozora tijekom pauziranja u alatu za uklanjanje pogrešaka moglo je doći do neočekivanog zatvaranja aplikacija
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2377: Vicki Pfau
Web-inspektor za WebKit
Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-2405: Apple
Dodatna zahvala
Safari
Na pomoći zahvaljujemo grupi s foruma Flyin9 (ZhenHui Lee).
Webkit
Na pomoći zahvaljujemo Yosukeu HASEGAWI iz tvrtke Secure Sky Technology Inc.