A Safari 10.1.2 biztonsági tartalma
Ez a dokumentum a Safari 10.1.2 biztonsági tartalmát ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
Safari 10.1.2
Nyomtatás a Safariból
A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.6.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor végtelen számú nyomtatási párbeszédpanel jelent meg.
Leírás: Egy hiba miatt a rosszindulatú, illetve a hackelt webhelyek végtelen számú nyomtatási párbeszédpanelt tudtak megjeleníteni, és el tudták hitetni a felhasználókkal, hogy a böngésző zárolt állapotban van. A nyomtatási párbeszédpanelek szabályozásával hárították el a problémát.
CVE-2017-7060: Travis Kelley (City of Mishawaka, Indiana)
WebKit
A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.6.
Érintett terület: A rosszindulatú webhelyek ki tudtak szivárogtatni adatokat különböző forrásokból.
Leírás: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetőség adódott arra, hogy különböző eredetekből származó adatokat szivárogtassanak ki SVG-szűrők segítségével, és így időzítés-alapú „side-channel” típusú támadást indítsanak. Azáltal hárították el a problémát, hogy nem helyezték a különböző eredetek pufferét a szűrt keretbe.
CVE-2017-7006: David Kohlbrenner (UC San Diego), anonim kutató
WebKit
A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.6.
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.
Leírás: Hatékonyabb keretkezeléssel elhárítottak egy állapotkezeléssel összefüggő problémát.
CVE-2017-7011: xisigr (Tencent; Xuanwu Lab; tencent.com)
WebKit
A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.6.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk több, memóriasérüléssel kapcsolatos problémát.
CVE-2017-7018: lokihardt (Google Project Zero)
CVE-2017-7020: likemeng (Baidu Security Lab)
CVE-2017-7030: chenqin (Ant-financial Light-Year Security Lab; 蚂蚁金服巴斯光年安全实验室)
CVE-2017-7034: chenqin (Ant-financial Light-Year Security Lab; 蚂蚁金服巴斯光年安全实验室)
CVE-2017-7037: lokihardt (Google Project Zero)
CVE-2017-7039: Ivan Fratric (Google Project Zero)
CVE-2017-7040: Ivan Fratric (Google Project Zero)
CVE-2017-7041: Ivan Fratric (Google Project Zero)
CVE-2017-7042: Ivan Fratric (Google Project Zero)
CVE-2017-7043: Ivan Fratric (Google Project Zero)
CVE-2017-7046: Ivan Fratric (Google Project Zero)
CVE-2017-7048: Ivan Fratric (Google Project Zero)
CVE-2017-7052: cc, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2017-7055: The UK's National Cyber Security Centre (NCSC)
CVE-2017-7056: lokihardt (Google Project Zero)
CVE-2017-7061: lokihardt (Google Project Zero)
WebKit
A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.6.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak DOMParser segítségével való feldolgozása webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.
Leírás: Logikai probléma lépett fel a DOMParser kezelésekor. Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
CVE-2017-7038: Egor Karbutov (@ShikariSenpai; Digital Security) és Egor Saltykov (@ansjdnakjdnajkd; Digital Security), Neil Jenkins (FastMail Pty Ltd)
CVE-2017-7059: Masato Kinugawa és Mario Heiderich (Cure53)
WebKit
A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.6.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk több, memóriasérüléssel kapcsolatos problémát.
CVE-2017-7049: Ivan Fratric (Google Project Zero)
WebKit
A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.6.
Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.
CVE-2017-7064: lokihardt (Google Project Zero)
WebKit-oldalbetöltés
A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.6.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk több, memóriasérüléssel kapcsolatos problémát.
CVE-2017-7019: Zhiyang Zeng (Tencent Security Platform Department)
WebKit Web Inspector
A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.6.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk több, memóriasérüléssel kapcsolatos problémát.
CVE-2017-7012: Apple
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.