A Safari 10.1.2 biztonsági tartalma

Ez a dokumentum a Safari 10.1.2 biztonsági tartalmát ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

Safari 10.1.2

Nyomtatás a Safariból

A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.6.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor végtelen számú nyomtatási párbeszédpanel jelent meg.

Leírás: Egy hiba miatt a rosszindulatú, illetve a hackelt webhelyek végtelen számú nyomtatási párbeszédpanelt tudtak megjeleníteni, és el tudták hitetni a felhasználókkal, hogy a böngésző zárolt állapotban van. A nyomtatási párbeszédpanelek szabályozásával hárították el a problémát.

CVE-2017-7060: Travis Kelley (City of Mishawaka, Indiana)

WebKit

A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.6.

Érintett terület: A rosszindulatú webhelyek ki tudtak szivárogtatni adatokat különböző forrásokból.

Leírás: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetőség adódott arra, hogy különböző eredetekből származó adatokat szivárogtassanak ki SVG-szűrők segítségével, és így időzítés-alapú „side-channel” típusú támadást indítsanak. Azáltal hárították el a problémát, hogy nem helyezték a különböző eredetek pufferét a szűrt keretbe.

CVE-2017-7006: David Kohlbrenner (UC San Diego), anonim kutató

WebKit

A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.6.

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.

Leírás: Hatékonyabb keretkezeléssel elhárítottak egy állapotkezeléssel összefüggő problémát.

CVE-2017-7011: xisigr (Tencent; Xuanwu Lab; tencent.com)

WebKit

A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.6.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk több, memóriasérüléssel kapcsolatos problémát.

CVE-2017-7018: lokihardt (Google Project Zero)

CVE-2017-7020: likemeng (Baidu Security Lab)

CVE-2017-7030: chenqin (Ant-financial Light-Year Security Lab; 蚂蚁金服巴斯光年安全实验室)

CVE-2017-7034: chenqin (Ant-financial Light-Year Security Lab; 蚂蚁金服巴斯光年安全实验室)

CVE-2017-7037: lokihardt (Google Project Zero)

CVE-2017-7039: Ivan Fratric (Google Project Zero)

CVE-2017-7040: Ivan Fratric (Google Project Zero)

CVE-2017-7041: Ivan Fratric (Google Project Zero)

CVE-2017-7042: Ivan Fratric (Google Project Zero)

CVE-2017-7043: Ivan Fratric (Google Project Zero)

CVE-2017-7046: Ivan Fratric (Google Project Zero)

CVE-2017-7048: Ivan Fratric (Google Project Zero)

CVE-2017-7052: cc, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2017-7055: The UK's National Cyber Security Centre (NCSC)

CVE-2017-7056: lokihardt (Google Project Zero)

CVE-2017-7061: lokihardt (Google Project Zero)

WebKit

A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.6.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak DOMParser segítségével való feldolgozása webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Logikai probléma lépett fel a DOMParser kezelésekor. Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2017-7038: Egor Karbutov (@ShikariSenpai; Digital Security) és Egor Saltykov (@ansjdnakjdnajkd; Digital Security), Neil Jenkins (FastMail Pty Ltd)

CVE-2017-7059: Masato Kinugawa és Mario Heiderich (Cure53)

WebKit

A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.6.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk több, memóriasérüléssel kapcsolatos problémát.

CVE-2017-7049: Ivan Fratric (Google Project Zero)

WebKit

A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.6.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.

CVE-2017-7064: lokihardt (Google Project Zero)

WebKit-oldalbetöltés

A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.6.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk több, memóriasérüléssel kapcsolatos problémát.

CVE-2017-7019: Zhiyang Zeng (Tencent Security Platform Department)

WebKit Web Inspector

A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.6.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk több, memóriasérüléssel kapcsolatos problémát.

CVE-2017-7012: Apple