A Safari 11 biztonsági változásjegyzéke
Ez a dokumentum a Safari 11 biztonsági bejelentéseit és változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
Safari 11
Safari
A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.
Leírás: Hatékonyabb állapotkezeléssel elhárítottak egy inkonzisztens felhasználói felülettel kapcsolatos problémát.
CVE-2017-7085: xisigr (Tencent; Xuanwu Lab; tencent.com)
WebKit
A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.
CVE-2017-7081: Apple
WebKit
A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk több, memóriasérüléssel kapcsolatos problémát.
CVE-2017-7087: Apple
CVE-2017-7091: Wei Yuan (Baidu Security Lab), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2017-7092: Samuel Gro és Niklas Baumstark, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként, Qixun Zhao (@S0rryMybad; Qihoo 360 Vulcan Team)
CVE-2017-7093: Samuel Gro és Niklas Baumstark, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2017-7094: Tim Michaud (@TimGMichaud; Leviathan Security Group)
CVE-2017-7095: Wang Junjie, Wei Lei és Liu Yang (Nanyang Technological University), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőiként
CVE-2017-7096: Wei Yuan (Baidu Security Lab)
CVE-2017-7098: Felipe Freitas (Instituto Tecnológico de Aeronáutica)
CVE-2017-7099: Apple
CVE-2017-7100: Masato Kinugawa és Mario Heiderich (Cure53)
CVE-2017-7102: Wang Junjie, Wei Lei és Liu Yang (Nanyang Technological University)
CVE-2017-7104: likemeng (Baidu Security Lab)
CVE-2017-7107: Wang Junjie, Wei Lei és Liu Yang (Nanyang Technological University)
CVE-2017-7111: likemeng (Baidu Security Lab; xlab.baidu.com), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2017-7117: lokihardt (Google Project Zero)
CVE-2017-7120: chenqin (陈钦; Ant-financial Light-Year Security Lab)
WebKit
A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.
Leírás: Logikai probléma lépett fel a szülőlap kezelésekor. Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.
CVE-2017-7089: Anton Lopanitsyn (ONSEC), Frans Rosén (Detectify)
WebKit
A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13
Érintett terület: Az egyik eredethez tartozó sütiket át lehetett küldeni egy másik eredethez.
Leírás: Engedélyezési hiba lépett fel a webböngészősütik kezelésekor. Annak beállításával hárították el a problémát, hogy ne menjen végbe a sütik visszajuttatása egyéni URL-sémák esetén.
CVE-2017-7090: Apple
WebKit
A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.
Leírás: Hatékonyabb állapotkezeléssel elhárítottak egy inkonzisztens felhasználói felülettel kapcsolatos problémát.
CVE-2017-7106: Oliver Paukstadt (Thinking Objects GmbH; to.com)
WebKit
A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.
Leírás: Előfordult, hogy a rendszer váratlanul alkalmazta az alkalmazás-gyorsítótáras házirendet.
CVE-2017-7109: avlidienbrunn
WebKit
A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13
Érintett terület: A rosszindulatú webhelyek nyomon tudták követni a felhasználókat a Safari privát böngészési módjában.
Leírás: Engedélyezési hiba lépett fel a webböngészősütik kezelésekor. Hatékonyabb korlátozásokkal hárították el a problémát.
CVE-2017-7144: Mohammad Ghasemisharif (UIC’s BITS Lab)
WebKit-tároló
A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13
Érintett terület: Előfordult, hogy a Safari privát böngészési munkamenete után is megmaradtak webhelyadatok.
Leírás: Egy információkiszivárgással kapcsolatos probléma lépett fel a webhelyadatok kezelésekor a Safari Privát-ablakaiban. Hatékonyabb adatkezeléssel küszöbölték ki a problémát.
CVE-2017-7142: Rich Shawn O’Connell, anonim kutató, anonim kutató
További köszönetnyilvánítás
WebKit
Köszönjük xisigr (Tencent; Xuanwu Lab; tencent.com) segítségét.
WebKit
Köszönjük Rayyan Bijoora (@Bijoora; The City School, PAF Chapter) segítségét.
WebKit
Köszönjük redrain (hongyu; 360CERT) segítségét.
WebKit – teljes képernyő
Köszönjük xisigr (Tencent; Xuanwu Lab; tencent.com) segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.