A Safari 10.0.2 biztonsági tartalma

Ez a dokumentum a Safari 10.0.2 biztonsági tartalmát ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

Safari 10.0.2

Kiadási dátum: 2016. december 13.

JavaScriptCore

A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.2

Érintett terület: Egy JavaScript-sandboxban futó szkript adott esetben a sandboxon kívül is érvényesülni tudott.

Leírás: Érvényesítési hiba lépett fel a JavaScript feldolgozásakor. Hatékonyabb ellenőrzéssel hárították el a problémát.

CVE-2016-4695: Mark S. Miller (Google)

Bejegyzés hozzáadva: 2017. augusztus 16.

Safari-olvasó

A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.2

Érintett terület: A Safari Olvasó ártó szándékkal létrehozott weboldalon való engedélyezése webhelyek közötti, parancsfájlt alkalmazó univerzális támadásokra adott lehetőséget.

Leírás: Hatékonyabb beviteltisztítással elhárítottunk több hitelesítési hibát.

CVE-2016-7650: Erling Ellingsen

WebKit

A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.2

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk több, memóriasérüléssel kapcsolatos problémát.

CVE-2016-4692: Apple

CVE-2016-7635: Apple

CVE-2016-7652: Apple

WebKit

A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.2

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetővé vált a folyamatmemória közzététele.

Leírás: Hatékonyabb állapotkezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2016-7656: Keen Lab, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

WebKit

A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.2

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetővé vált a folyamatmemória közzététele.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2016-4743: Alan Cutter

WebKit

A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.2

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetővé vált a felhasználói adatok közzététele.

Leírás: Hatékonyabb állapotkezeléssel elhárítottak egy hitelesítési problémát.

CVE-2016-7586: Boris Zbarsky

WebKit

A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.2

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb állapotkezeléssel elhárítottak több memóriasérüléssel kapcsolatos problémát.

CVE-2016-7587: Adam Klein

CVE-2016-7610: Zheng Huang (Baidu Security Lab), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2016-7611: anonim kutató, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2016-7639: Tongbo Luo (Palo Alto Networks)

CVE-2016-7640: Kai Kang (Tencent; Xuanwu Lab; tencent.com)

CVE-2016-7641: Kai Kang (Tencent; Xuanwu Lab; tencent.com)

CVE-2016-7642: Tongbo Luo (Palo Alto Networks)

CVE-2016-7645: Kai Kang (Tencent; Xuanwu Lab; tencent.com)

CVE-2016-7646: Kai Kang (Tencent; Xuanwu Lab; tencent.com)

CVE-2016-7648: Kai Kang (Tencent; Xuanwu Lab; tencent.com)

CVE-2016-7649: Kai Kang (Tencent; Xuanwu Lab; tencent.com)

CVE-2016-7654: Keen Lab, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

WebKit

A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.2

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb állapotkezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2016-7589: Apple

WebKit

A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.2

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meg lehetett szerezni a felhasználói adatokat.

Leírás: Hiba lépett fel a JavaScript-párbeszédpanelek kezelésekor. Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2016-7592 : xisigr (Tencent; Xuanwu Lab; tencent.com)

WebKit

A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.2

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetővé vált a folyamatmemória közzététele.

Leírás: Hatékonyabb memóriainicializálással elhárítottak egy nem inicializált memória-hozzáféréssel kapcsolatos problémát.

CVE-2016-7598: Samuel Groß

WebKit

A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.2

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetővé vált a felhasználói adatok közzététele.

Leírás: Hiba lépett fel a HTTP-átirányítások kezelésekor. Az eltérő eredetek hatékonyabb ellenőrzésével küszöbölték ki a problémát.

CVE-2016-7599 : Muneaki Nishimura (nishimunea; Recruit Technologies Co., Ltd.)

WebKit

A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.1.

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meg lehetett szerezni a felhasználói adatokat.

Leírás: Hiba lépett fel a blob URL-ek kezelésekor. Az URL-ek hatékonyabb kezelésével hárították el a problémát.

CVE-2016-7623 : xisigr (Tencent; Xuanwu Lab; tencent.com)

Bejegyzés hozzáadva 2016. december 14-én.

WebKit

A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.2

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott weboldalak meglátogatásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb állapotkezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2016-7632: Jeonghoon Shin

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: