A Safari 10.0.3 biztonsági tartalma

Ez a dokumentum a Safari 10.0.3 biztonsági tartalmát ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

A biztonsági kérdésekről az Apple-termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

Safari 10.0.3

Safari

A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.3.

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.

Leírás: Hatékonyabb URL-kezeléssel elhárítottak egy állapotkezeléssel összefüggő problémát.

CVE-2017-2359: xisigr (Tencent; Xuanwu Lab; tencent.com)

WebKit

A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.3.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor kiszivárogtak adatok különböző eredetekből.

Leírás: Hatékonyabb kivételkezeléssel elhárítottak egy prototípus-hozzáférési problémát.

CVE-2017-2350: Gareth Heyes (Portswigger Web Security)

WebKit

A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.3.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több memóriasérüléssel kapcsolatos problémát.

CVE-2017-2354: Neymar (Tencent; Xuanwu Lab; tencent.com), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2017-2362: Ivan Fratric (Google Project Zero)

CVE-2017-2373: Ivan Fratric (Google Project Zero)

WebKit

A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.3.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriainicializálási hibát.

CVE-2017-2355: Team Pangu és lokihardt (PwnFest 2016)

WebKit

A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.3.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb bevitelellenőrzéssel elhárítottak több memóriasérüléssel kapcsolatos problémát.

CVE-2017-2356: Team Pangu és lokihardt (PwnFest 2016)

CVE-2017-2369: Ivan Fratric (Google Project Zero)

CVE-2017-2366: Kai Kang (Tencent; Xuanwu Lab; tencent.com)

WebKit

A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.3.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor kiszivárogtak adatok különböző eredetekből.

Leírás: Több hitelesítési hiba lépett fel az oldalak kezelésekor. Hatékonyabb logikával küszöbölték ki a problémát.

CVE-2017-2363: lokihardt (Google Project Zero)

CVE-2017-2364: lokihardt (Google Project Zero)

WebKit

A következőkhöz érhető el: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 és macOS Sierra 10.12.3.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor kiszivárogtak adatok különböző eredetekből.

Leírás: Hitelesítési hiba lépett fel a változók kezelésekor. Hatékonyabb ellenőrzéssel hárították el a problémát.

CVE-2017-2365: lokihardt (Google Project Zero)

További köszönetnyilvánítás

WebKit-megerősítés

Köszönjük a következő személyeknek a segítséget: Ben Gras, Kaveh Razavi, Erik Bosman, Herbert Bos és Cristiano Giuffrida (vusec csoport; Vrije Universiteit Amsterdam).