A Safari 11 biztonsági változásjegyzéke

Ez a dokumentum a Safari 11 biztonsági bejelentéseit és változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

Safari 11

Safari

A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.

Leírás: Hatékonyabb állapotkezeléssel elhárítottak egy inkonzisztens felhasználói felülettel kapcsolatos problémát.

CVE-2017-7085: xisigr (Tencent; Xuanwu Lab; tencent.com)

WebKit

A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.

CVE-2017-7081: Apple

WebKit

A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk több, memóriasérüléssel kapcsolatos problémát.

CVE-2017-7087: Apple

CVE-2017-7091: Wei Yuan (Baidu Security Lab), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2017-7092: Samuel Gro és Niklas Baumstark, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként, Qixun Zhao (@S0rryMybad; Qihoo 360 Vulcan Team)

CVE-2017-7093: Samuel Gro és Niklas Baumstark, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2017-7094: Tim Michaud (@TimGMichaud; Leviathan Security Group)

CVE-2017-7095: Wang Junjie, Wei Lei és Liu Yang (Nanyang Technological University), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőiként

CVE-2017-7096: Wei Yuan (Baidu Security Lab)

CVE-2017-7098: Felipe Freitas (Instituto Tecnológico de Aeronáutica)

CVE-2017-7099: Apple

CVE-2017-7100: Masato Kinugawa és Mario Heiderich (Cure53)

CVE-2017-7102: Wang Junjie, Wei Lei és Liu Yang (Nanyang Technological University)

CVE-2017-7104: likemeng (Baidu Security Lab)

CVE-2017-7107: Wang Junjie, Wei Lei és Liu Yang (Nanyang Technological University)

CVE-2017-7111: likemeng (Baidu Security Lab; xlab.baidu.com), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2017-7117: lokihardt (Google Project Zero)

CVE-2017-7120: chenqin (陈钦; Ant-financial Light-Year Security Lab)

WebKit

A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Logikai probléma lépett fel a szülőlap kezelésekor. Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.

CVE-2017-7089: Anton Lopanitsyn (ONSEC), Frans Rosén (Detectify)

WebKit

A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13

Érintett terület: Az egyik eredethez tartozó sütiket át lehetett küldeni egy másik eredethez.

Leírás: Engedélyezési hiba lépett fel a webböngészősütik kezelésekor. Annak beállításával hárították el a problémát, hogy ne menjen végbe a sütik visszajuttatása egyéni URL-sémák esetén.

CVE-2017-7090: Apple

WebKit

A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.

Leírás: Hatékonyabb állapotkezeléssel elhárítottak egy inkonzisztens felhasználói felülettel kapcsolatos problémát.

CVE-2017-7106: Oliver Paukstadt (Thinking Objects GmbH; to.com)

WebKit

A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Előfordult, hogy a rendszer váratlanul alkalmazta az alkalmazás-gyorsítótáras házirendet.

CVE-2017-7109: avlidienbrunn

WebKit

A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13

Érintett terület: A rosszindulatú webhelyek nyomon tudták követni a felhasználókat a Safari privát böngészési módjában.

Leírás: Engedélyezési hiba lépett fel a webböngészősütik kezelésekor. Hatékonyabb korlátozásokkal hárították el a problémát.

CVE-2017-7144: Mohammad Ghasemisharif (UIC’s BITS Lab)

WebKit-tároló

A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13

Érintett terület: Előfordult, hogy a Safari privát böngészési munkamenete után is megmaradtak webhelyadatok.

Leírás: Egy információkiszivárgással kapcsolatos probléma lépett fel a webhelyadatok kezelésekor a Safari Privát-ablakaiban. Hatékonyabb adatkezeléssel küszöbölték ki a problémát.

CVE-2017-7142: Rich Shawn O’Connell, anonim kutató, anonim kutató

További köszönetnyilvánítás

WebKit

Köszönjük xisigr (Tencent; Xuanwu Lab; tencent.com) segítségét.

WebKit

Köszönjük Rayyan Bijoora (@Bijoora; The City School, PAF Chapter) segítségét.

WebKit

Köszönjük redrain (hongyu; 360CERT) segítségét.

WebKit – teljes képernyő

Köszönjük xisigr (Tencent; Xuanwu Lab; tencent.com) segítségét.