A Safari 11 biztonsági változásjegyzéke

Ez a dokumentum a Safari 11 biztonsági bejelentéseit és változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

Safari 11

Kiadási dátum: 2017. szeptember 19.

Safari

A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.

Leírás: Hatékonyabb állapotkezeléssel elhárítottak egy inkonzisztens felhasználói felülettel kapcsolatos problémát.

CVE-2017-7085: xisigr (Tencent; Xuanwu Lab; tencent.com)

WebKit

A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.

CVE-2017-7081: Apple

A bejegyzés hozzáadva: 2017. szeptember 25.

WebKit

A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk több, memóriasérüléssel kapcsolatos problémát.

CVE-2017-7087: Apple

CVE-2017-7091: Wei Yuan (Baidu Security Lab), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2017-7092: Samuel Gro és Niklas Baumstark, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként, Qixun Zhao (@S0rryMybad; Qihoo 360 Vulcan Team)

CVE-2017-7093: Samuel Gro és Niklas Baumstark, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2017-7094: Tim Michaud (@TimGMichaud; Leviathan Security Group)

CVE-2017-7095: Wang Junjie, Wei Lei és Liu Yang (Nanyang Technological University), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőiként

CVE-2017-7096: Wei Yuan (Baidu Security Lab)

CVE-2017-7098: Felipe Freitas (Instituto Tecnológico de Aeronáutica)

CVE-2017-7099: Apple

CVE-2017-7100: Masato Kinugawa és Mario Heiderich (Cure53)

CVE-2017-7102: Wang Junjie, Wei Lei és Liu Yang (Nanyang Technological University)

CVE-2017-7104: likemeng (Baidu Security Lab)

CVE-2017-7107: Wang Junjie, Wei Lei és Liu Yang (Nanyang Technological University)

CVE-2017-7111: likemeng (Baidu Security Lab; xlab.baidu.com), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2017-7117: lokihardt (Google Project Zero)

CVE-2017-7120: chenqin (陈钦; Ant-financial Light-Year Security Lab)

A bejegyzés hozzáadva: 2017. szeptember 25.

WebKit

A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Logikai probléma lépett fel a szülőlap kezelésekor. Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.

CVE-2017-7089: Anton Lopanitsyn (ONSEC), Frans Rosén (Detectify)

WebKit

A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13

Érintett terület: Az egyik eredethez tartozó sütiket át lehetett küldeni egy másik eredethez.

Leírás: Engedélyezési hiba lépett fel a webböngészősütik kezelésekor. Annak beállításával hárították el a problémát, hogy ne menjen végbe a sütik visszajuttatása egyéni URL-sémák esetén.

CVE-2017-7090: Apple

A bejegyzés hozzáadva: 2017. szeptember 25.

WebKit

A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.

Leírás: Hatékonyabb állapotkezeléssel elhárítottak egy inkonzisztens felhasználói felülettel kapcsolatos problémát.

CVE-2017-7106: Oliver Paukstadt (Thinking Objects GmbH; to.com)

WebKit

A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Előfordult, hogy a rendszer váratlanul alkalmazta az alkalmazás-gyorsítótáras házirendet.

CVE-2017-7109: avlidienbrunn

A bejegyzés hozzáadva: 2017. szeptember 25.

WebKit

A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13

Érintett terület: A rosszindulatú webhelyek nyomon tudták követni a felhasználókat a Safari privát böngészési módjában.

Leírás: Engedélyezési hiba lépett fel a webböngészősütik kezelésekor. Hatékonyabb korlátozásokkal hárították el a problémát.

CVE-2017-7144: Mohammad Ghasemisharif (UIC’s BITS Lab)

Bejegyzés frissítve 2017. október 9-én.

WebKit-tároló

A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13

Érintett terület: Előfordult, hogy a Safari privát böngészési munkamenete után is megmaradtak webhelyadatok.

Leírás: Egy információkiszivárgással kapcsolatos probléma lépett fel a webhelyadatok kezelésekor a Safari Privát-ablakaiban. Hatékonyabb adatkezeléssel küszöbölték ki a problémát.

CVE-2017-7142: Rich Shawn O’Connell, anonim kutató, anonim kutató

Bejegyzés hozzáadva 2017. szeptember 25-én, frissítve 2017. november 10-én.

További köszönetnyilvánítás

WebKit

Köszönjük xisigr (Tencent; Xuanwu Lab; tencent.com) segítségét.

WebKit

Köszönjük Rayyan Bijoora (@Bijoora; The City School, PAF Chapter) segítségét.

WebKit

Köszönjük redrain (hongyu; 360CERT) segítségét.

Bejegyzés hozzáadva 2018. február 14-én.

WebKit – teljes képernyő

Köszönjük xisigr (Tencent; Xuanwu Lab; tencent.com) segítségét.

Bejegyzés hozzáadva 2018. február 14-én.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: