A Safari 10.0.2 biztonsági tartalma
Ez a dokumentum a Safari 10.0.2 biztonsági tartalmát ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
Safari 10.0.2
JavaScriptCore
A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.2
Érintett terület: Egy JavaScript-sandboxban futó szkript adott esetben a sandboxon kívül is érvényesülni tudott.
Leírás: Érvényesítési hiba lépett fel a JavaScript feldolgozásakor. Hatékonyabb ellenőrzéssel hárították el a problémát.
CVE-2016-4695: Mark S. Miller (Google)
Safari-olvasó
A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.2
Érintett terület: A Safari Olvasó ártó szándékkal létrehozott weboldalon való engedélyezése webhelyek közötti, parancsfájlt alkalmazó univerzális támadásokra adott lehetőséget.
Leírás: Hatékonyabb beviteltisztítással elhárítottunk több hitelesítési hibát.
CVE-2016-7650: Erling Ellingsen
WebKit
A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.2
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk több, memóriasérüléssel kapcsolatos problémát.
CVE-2016-4692: Apple
CVE-2016-7635: Apple
CVE-2016-7652: Apple
WebKit
A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.2
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetővé vált a folyamatmemória közzététele.
Leírás: Hatékonyabb állapotkezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2016-7656: Keen Lab, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
WebKit
A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.2
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetővé vált a folyamatmemória közzététele.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2016-4743: Alan Cutter
WebKit
A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.2
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetővé vált a felhasználói adatok közzététele.
Leírás: Hatékonyabb állapotkezeléssel elhárítottak egy hitelesítési problémát.
CVE-2016-7586: Boris Zbarsky
WebKit
A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.2
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb állapotkezeléssel elhárítottak több memóriasérüléssel kapcsolatos problémát.
CVE-2016-7587: Adam Klein
CVE-2016-7610: Zheng Huang (Baidu Security Lab), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2016-7611: anonim kutató, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2016-7639: Tongbo Luo (Palo Alto Networks)
CVE-2016-7640: Kai Kang (Tencent; Xuanwu Lab; tencent.com)
CVE-2016-7641: Kai Kang (Tencent; Xuanwu Lab; tencent.com)
CVE-2016-7642: Tongbo Luo (Palo Alto Networks)
CVE-2016-7645: Kai Kang (Tencent; Xuanwu Lab; tencent.com)
CVE-2016-7646: Kai Kang (Tencent; Xuanwu Lab; tencent.com)
CVE-2016-7648: Kai Kang (Tencent; Xuanwu Lab; tencent.com)
CVE-2016-7649: Kai Kang (Tencent; Xuanwu Lab; tencent.com)
CVE-2016-7654: Keen Lab, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
WebKit
A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.2
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb állapotkezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2016-7589: Apple
WebKit
A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.2
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meg lehetett szerezni a felhasználói adatokat.
Leírás: Hiba lépett fel a JavaScript-párbeszédpanelek kezelésekor. Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
CVE-2016-7592 : xisigr (Tencent; Xuanwu Lab; tencent.com)
WebKit
A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.2
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetővé vált a folyamatmemória közzététele.
Leírás: Hatékonyabb memóriainicializálással elhárítottak egy nem inicializált memória-hozzáféréssel kapcsolatos problémát.
CVE-2016-7598: Samuel Groß
WebKit
A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.2
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetővé vált a felhasználói adatok közzététele.
Leírás: Hiba lépett fel a HTTP-átirányítások kezelésekor. Az eltérő eredetek hatékonyabb ellenőrzésével küszöbölték ki a problémát.
CVE-2016-7599 : Muneaki Nishimura (nishimunea; Recruit Technologies Co., Ltd.)
WebKit
A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.1.
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meg lehetett szerezni a felhasználói adatokat.
Leírás: Hiba lépett fel a blob URL-ek kezelésekor. Az URL-ek hatékonyabb kezelésével hárították el a problémát.
CVE-2016-7623 : xisigr (Tencent; Xuanwu Lab; tencent.com)
WebKit
A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.2
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott weboldalak meglátogatásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb állapotkezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2016-7632: Jeonghoon Shin
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.