Informazioni sui contenuti di sicurezza di Safari 10.1
In questo documento vengono descritti i contenuti di sicurezza di Safari 10.1.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle nuove versioni alla pagina Aggiornamenti di sicurezza Apple.
Per ulteriori informazioni sulla sicurezza, visita la pagina relativa alla sicurezza dei prodotti Apple. Puoi codificare le comunicazioni con Apple usando la chiave PGP per la sicurezza dei prodotti Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Safari 10.1
CoreGraphics
Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.
CVE-2017-2444: Mei Wang di 360 GearTeam
JavaScriptCore
Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-2491: Apple
JavaScriptCore
Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impatto: l'elaborazione di una pagina web pericolosa può comportare lo scripting cross-site universale.
Descrizione: un problema del prototipo è stato risolto attraverso una migliore logica.
CVE-2017-2492: lokihardt di Google Project Zero
Safari
Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impatto: l'accesso a un sito web dannoso può causare lo spoofing della barra degli indirizzi.
Descrizione: un problema di gestione dello stato è stato risolto tramite la disabilitazione dell'inserimento del testo fino al caricamento della pagina di destinazione.
CVE-2017-2376: un ricercatore anonimo, Chris Hlady di Google Inc, Yuyang Zhou di Tencent Security Platform Department (security.tencent.com), Muneaki Nishimura (nishimunea) di Recruit Technologies Co., Ltd., Michal Zalewski di Google Inc, un ricercatore anonimo
Safari
Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impatto: l'elaborazione di contenuti web pericolosi potrebbe causare la visualizzazione di fogli di autenticazione tramite siti web arbitrari.
Descrizione: nella gestione dell'autenticazione HTTP si verificava un problema di spoofing e DoS (Denial of Service). Il problema è stato risolto rendendo i fogli di autenticazione HTTP non modali.
CVE-2017-2389: ShenYeYinJiu di Tencent Security Response Center, TSRC
Safari
Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impatto: l'accesso a un sito web dannoso mediante clic su un link può consentire lo spoofing dell'interfaccia utente.
Descrizione: si verificava un problema di spoofing nella gestione delle richieste di FaceTime. Il problema è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-2453: xisigr di Tencent's Xuanwu Lab (tencent.com)
Riempimento automatico con Safari
Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impatto: un utente locale potrebbe accedere a elementi del portachiavi bloccati.
Descrizione: un problema di gestione del portachiavi è stato risolto tramite una migliore gestione degli elementi del portachiavi.
CVE-2017-2385: Simon Woodside di MedStack
WebKit
Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impatto: le azioni di trascinamento e rilascio di un link pericoloso potrebbero causare lo spoofing dei preferiti o l'esecuzione di codice arbitrario.
Descrizione: durante la creazione dei preferiti si verificava un problema di convalida. Il problema è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-2378: xisigr di Tencent's Xuanwu Lab (tencent.com)
WebKit
Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impatto: l'elaborazione di contenuti web pericolosi può consentire l'esfiltrazione multiorigine dei dati.
Descrizione: un problema di accesso al prototipo è stato risolto attraverso una migliore gestione delle eccezioni.
CVE-2017-2386: André Bargull
WebKit
Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.
CVE-2017-2394: Apple
CVE-2017-2396: Apple
CVE-2016-9642: Gustavo Grieco
WebKit
Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.
CVE-2017-2395: Apple
CVE-2017-2454: Ivan Fratric di Google Project Zero, Zheng Huang di Baidu Security Lab in collaborazione con Zero Day Initiative di Trend Micro
CVE-2017-2455: Ivan Fratric di Google Project Zero
CVE-2017-2459: Ivan Fratric di Google Project Zero
CVE-2017-2460: Ivan Fratric di Google Project Zero
CVE-2017-2464: Jeonghoon Shin, natashenka di Google Project Zero
CVE-2017-2465: Zheng Huang e Wei Yuan di Baidu Security Lab
CVE-2017-2466: Ivan Fratric di Google Project Zero
CVE-2017-2468: lokihardt di Google Project Zero
CVE-2017-2469: lokihardt di Google Project Zero
CVE-2017-2470: lokihardt di Google Project Zero
CVE-2017-2476: Ivan Fratric di Google Project Zero
CVE-2017-2481: 0011 in collaborazione con Zero Day Initiative di Trend Micro
WebKit
Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario
Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-2415: Kai Kang di Tencent's Xuanwu Lab (tentcent.com)
WebKit
Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impatto: l'elaborazione di contenuti web pericolosi potrebbe causare la mancata applicazione della Content Security Policy in modo inatteso.
Descrizione: nella Content Security Policy si verificava un problema di accesso. che è stato risolto attraverso migliori restrizioni di accesso.
CVE-2017-2419: Nicolai Grødum di Cisco Systems
WebKit
Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impatto: l'elaborazione di contenuti web pericolosi può comportare un elevato utilizzo della memoria.
Descrizione: un problema di utilizzo incontrollato delle risorse è stato risolto migliorando l'elaborazione regex.
CVE-2016-9643: Gustavo Grieco
WebKit
Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impatto: l'elaborazione di contenuti web pericolosi potrebbe causare la divulgazione della memoria dei processi.
Descrizione: si verificava un problema di divulgazione di informazioni durante l'elaborazione degli shader OpenGL. che è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-2424: Paul Thomson (tramite lo strumento GLFuzz) del Multicore Programming Group, Imperial College London
WebKit
Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-2433: Apple
WebKit
Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impatto: l'elaborazione di contenuti web pericolosi può consentire l'esfiltrazione multiorigine dei dati.
Descrizione: si verificavano diversi problemi di convalida nella gestione del caricamento della pagina. Il problema è stato risolto attraverso una migliore logica.
CVE-2017-2364: lokihardt di Google Project Zero
WebKit
Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impatto: un sito web dannoso può consentire l'esfiltrazione multiorigine dei dati.
Descrizione: si verificava un problema di convalida nella gestione del caricamento della pagina. Il problema è stato risolto attraverso una migliore logica.
CVE-2017-2367: lokihardt di Google Project Zero
WebKit
Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impatto: l'elaborazione di contenuti web dannosi può causare il cross-site scripting universale.
Descrizione: si verificava un problema logico nella gestione degli oggetti frame. Il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2017-2445: lokihardt di Google Project Zero
WebKit
Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema logico nella gestione delle funzioni strict mode. Il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2017-2446: natashenka di Google Project Zero
WebKit
Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impatto: l'accesso a un sito web pericoloso può compromettere le informazioni dell'utente.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-2447: natashenka di Google Project Zero
WebKit
Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.
CVE-2017-2463: Kai Kang (4B5F5F4B) di Tencent's Xuanwu Lab (tencent.com) in collaborazione con Zero Day Initiative di Trend Micro
WebKit
Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-2471: Ivan Fratric di Google Project Zero
WebKit
Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impatto: l'elaborazione di contenuti web dannosi può causare il cross-site scripting universale.
Descrizione: si verificava un problema logico nella gestione dei frame. Il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2017-2475: lokihardt di Google Project Zero
WebKit
Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impatto: l'elaborazione di contenuti web pericolosi può consentire l'esfiltrazione multiorigine dei dati.
Descrizione: si verificava un problema di convalida nella gestione degli elementi. che è stato risolto attraverso una migliore convalida.
CVE-2017-2479: lokihardt di Google Project Zero
WebKit
Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impatto: l'elaborazione di contenuti web pericolosi può consentire l'esfiltrazione multiorigine dei dati.
Descrizione: si verificava un problema di convalida nella gestione degli elementi. che è stato risolto attraverso una migliore convalida.
CVE-2017-2480: lokihardt di Google Project Zero
CVE-2017-2493: lokihardt di Google Project Zero
WebKit
Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impatto: l'accesso a un sito web pericoloso può causare lo spoofing della barra degli indirizzi.
Descrizione: un problema di interfaccia utente non coerente è stato risolto tramite una migliore gestione dello stato.
CVE-2017-2486: un ricercatore anonimo
WebKit
Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impatto: un'applicazione può eseguire codice arbitrario
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-2392: Max Bazaliy di Lookout
WebKit
Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.
CVE-2017-2457: lokihardt di Google Project Zero
WebKit
Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.
CVE-2017-7071: Kai Kang (4B5F5F4B) di Tencent's Xuanwu Lab (tencent.com) in collaborazione con Zero Day Initiative di Trend Micro
Binding JavaScript di WebKit
Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impatto: l'elaborazione di contenuti web pericolosi può consentire l'esfiltrazione multiorigine dei dati.
Descrizione: si verificavano diversi problemi di convalida nella gestione del caricamento della pagina. Il problema è stato risolto attraverso una migliore logica.
CVE-2017-2442: lokihardt di Google Project Zero
Inspector web di WebKit
Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impatto: la chiusura di una finestra sospesa nel debugger potrebbe causare l'arresto imprevisto dell'applicazione.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-2377: Vicki Pfau
Inspector web di WebKit
Disponibile per: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-2405: Apple
Altri riconoscimenti
Safari
Ringraziamo Flyin9 (ZhenHui Lee) per l'assistenza.
Webkit
Ringraziamo Yosuke HASEGAWA di Secure Sky Technology Inc. per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.