Informacije o sigurnosnom sadržaju sustava Safari 10.1

U ovom se dokumentu opisuje sigurnosni sadržaj sustava Safari 10.1.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Safari 10.1

Jezgrena grafika

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-2444: Mei Wang (360 GearTeam)

JavaScriptCore

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem je riješen poboljšanim upravljanjem memorijom.

CVE-2017-2491: Apple

JavaScriptCore

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjerne web-stranice moglo je doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: problem s prototipom riješen je poboljšanjem logike.

CVE-2017-2492: lokihardt (Google Project Zero)

Safari

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: posjet zlonamjernom web-mjestu može izazvati krivotvorenje adresne trake

Opis: problem s upravljanjem stanjem riješen je onemogućivanjem unosa teksta tijekom učitavanja odredišne stranice.

CVE-2017-2376: anonimni istraživač, Chris Hlady (Google Inc), Yuyang Zhou (Tencentov odjel sigurnosne platforme (security.tencent.com)), Muneaki Nishimura (nishimunea) (Recruit Technologies Co., Ltd.), Michal Zalewski (Google Inc), anonimni istraživač

Safari

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja na proizvoljnim web-mjestima mogli su se pojaviti listovi za provjeru autentičnosti

Opis: u rukovanju provjerom autentičnosti za HTTP otkriven je problem s krivotvorenjem i odbijanjem usluge. Taj je problem riješen nemodalnim listovima za provjeru autentičnosti za HTTP.

CVE-2017-2389: ShenYeYinJiu (Tencentov pozivni centar za sigurnosna pitanja, TSRC)

Safari

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: na zlonamjernom web-mjestu klikom na vezu moglo se krivotvoriti sučelje

Opis: u rukovanju upitima za FaceTime otkriven je problem s krivotvorenjem. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-2453: xisigr (Tencentov odjel Xuanwu Lab (tencent.com))

Automatska ispuna prilikom prijave u pregledniku Safari

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: lokalni korisnik možda će moći pristupiti zaključanim stavkama privjeska ključeva

Opis: problem s upravljanjem privjeskom ključeva riješen je poboljšanim upravljanjem stavkom privjeska ključeva.

CVE-2017-2385: Simon Woodside (MedStack)

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: povlačenje i ispuštanje zlonamjerne veze moglo bi dovesti do krivotvorene knjižne oznake ili izvršavanja proizvoljnog koda

Opis: u stvaranju knjižne oznake otkriven je problem s provjerom valjanosti. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-2378: xisigr (Tencentov odjel Xuanwu Lab (tencent.com))

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja mogli su se otkriti svi izvori podataka

Opis: problem s pristupom prototipu riješen je poboljšanim upravljanjem iznimkama.

CVE-2017-2386: André Bargull

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-2394: Apple

CVE-2017-2396: Apple

CVE-2016-9642: Gustavo Grieco

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2017-2395: Apple

CVE-2017-2454: Ivan Fratrić (Google Project Zero), Zheng Huang (Baidu Security Lab) u suradnji s inicijativom Zero Day (Trend Micro)

CVE-2017-2455: Ivan Fratrić (Google Project Zero)

CVE-2017-2459: Ivan Fratrić (Google Project Zero)

CVE-2017-2460: Ivan Fratrić (Google Project Zero)

CVE-2017-2464: Jeonghoon Shin, natashenka (Google Project Zero)

CVE-2017-2465: Zheng Huang i Wei Yuan (Baidu Security Lab)

CVE-2017-2466: Ivan Fratrić (Google Project Zero)

CVE-2017-2468: lokihardt (Google Project Zero)

CVE-2017-2469: lokihardt (Google Project Zero)

CVE-2017-2470: lokihardt (Google Project Zero)

CVE-2017-2476: Ivan Fratrić (Google Project Zero)

CVE-2017-2481: 0011 i inicijativa Zero Day (Trend Micro)

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.

CVE-2017-2415: Kai Kang (Tencentov odjel Xuanwu Lab (tencent.com))

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja mogao se potaknuti nenametnuti pravilnik o sigurnosti sadržaja

Opis: u pravilniku o sigurnosti sadržaja otkriven je problem s pristupom. Problem je riješen povećanjem ograničenja pristupa.

CVE-2017-2419: Nicolai Grødum (Cisco Systems)

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do velike potrošnje memorije

Opis: problem s nekontroliranom potrošnjom resursa riješen je poboljšanom obradom regularnih izraza.

CVE-2016-9643: Gustavo Grieco

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja može se otkriti procesna memorija

Opis: u obradi OpenGL shader programa otkriven je problem s otkrivanjem podataka. Taj je problem riješen poboljšanim upravljanjem memorijom.

CVE-2017-2424: Paul Thomson (pomoću GLFuzz alata) (Multicore Programming Group, Imperial College London)

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-2433: Apple

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja mogli su se otkriti svi izvori podataka

Opis: u rukovanju učitavanjem stranice otkriveno je više problema s provjerom valjanosti. Problem je riješen poboljšanom logikom.

CVE-2017-2364: lokihardt (Google Project Zero)

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: zlonamjerne internetske stranice mogle su doznati sve izvore podataka

Opis: u rukovanju učitavanjem stranice otkriven je problem s provjerom valjanosti. Problem je riješen poboljšanom logikom.

CVE-2017-2367: lokihardt (Google Project Zero)

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: u rukovanju objektima okvira pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2017-2445: lokihardt (Google Project Zero)

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: u rukovanju funkcijama u strogom načinu pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2017-2446: natashenka (Google Project Zero)

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: posjetom zlonamjernom web-mjestu mogli su se ugroziti korisnički podaci

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-2447: natashenka (Google Project Zero)

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2017-2463: Kai Kang (4B5F5F4B) (Tencentov odjel Xuanwu Lab (tencent.com)) i inicijativa Zero Day (Trend Micro)

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem je riješen poboljšanim upravljanjem memorijom.

CVE-2017-2471: Ivan Fratrić (Google Project Zero)

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: u rukovanju okvirima pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2017-2475: lokihardt (Google Project Zero)

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja mogli su se otkriti svi izvori podataka

Opis: u rukovanju elementima pojavio se problem s provjerom valjanosti. Problem je riješen poboljšanom provjerom valjanosti.

CVE-2017-2479: lokihardt (Google Project Zero)

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja mogli su se otkriti svi izvori podataka

Opis: u rukovanju elementima pojavio se problem s provjerom valjanosti. Problem je riješen poboljšanom provjerom valjanosti.

CVE-2017-2480: lokihardt (Google Project Zero)

CVE-2017-2493: lokihardt (Google Project Zero)

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: posjet zlonamjernom web-mjestu može izazvati krivotvorenje adresne trake

Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.

CVE-2017-2486: anonimni istraživač

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: neke aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-2392: Max Bazaliy (Lookout)

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2017-2457: lokihardt (Google Project Zero)

WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2017-7071: Kai Kang (4B5F5F4B) (Laboratorij Xuanwu, Tencent (tencent.com)) u suradnji s inicijativom Zero Day (Trend Micro)

Veze za JavaScript u web-kompletu

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja mogli su se otkriti svi izvori podataka

Opis: u rukovanju učitavanjem stranice otkriveno je više problema s provjerom valjanosti. Problem je riješen poboljšanom logikom.

CVE-2017-2442: lokihardt (Google Project Zero)

Web-inspektor za WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: zatvaranjem prozora tijekom pauziranja u alatu za uklanjanje pogrešaka moglo je doći do neočekivanog zatvaranja aplikacija

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-2377: Vicki Pfau

Web-inspektor za WebKit

Dostupno za: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 i macOS Sierra 10.12.4

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-2405: Apple

Dodatna zahvala

Safari

Na pomoći zahvaljujemo grupi s foruma Flyin9 (ZhenHui Lee).

Webkit

Na pomoći zahvaljujemo Yosukeu HASEGAWI iz tvrtke Secure Sky Technology Inc.