Over de beveiligingsinhoud van Safari 10.1

In dit document wordt de beveiligingsinhoud van Safari 10.1 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging. U kunt communicatie met Apple coderen via de Apple Product Security PGP-sleutel.

Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.

Safari 10.1

Releasedatum: 27 maart 2017

CoreGraphics

Beschikbaar voor: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 en macOS Sierra 10.12.4

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde invoervalidatie.

CVE-2017-2444: Mei Wang van 360 GearTeam

JavaScriptCore

Beschikbaar voor: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 en macOS Sierra 10.12.4

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2017-2491: Apple

Toegevoegd op 2 mei 2017

JavaScriptCore

Beschikbaar voor: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 en macOS Sierra 10.12.4

Impact: het verwerken van een kwaadwillig vervaardigde webpagina kan leiden tot universele cross-site-scripting

Beschrijving: een probleem met prototypen is verholpen door verbeterde logica.

CVE-2017-2492: lokihardt van Google Project Zero

Bijgewerkt op 24 april 2017

Safari

Beschikbaar voor: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 en macOS Sierra 10.12.4

Impact: het bezoeken van een schadelijke website kan leiden tot adresbalkvervalsing

Beschrijving: een probleem met statusbeheer is opgelost door tekstinvoer uit te schakelen totdat de bestemmingspagina is geladen.

CVE-2017-2376: een anonieme onderzoeker, Chris Hlady van Google Inc, Yuyang Zhou van Tencent Security Platform Department (security.tencent.com), Muneaki Nishimura (nishimunea) van Recruit Technologies Co., Ltd., Michal Zalewski van Google Inc, een anonieme onderzoeker

Safari

Beschikbaar voor: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 en macOS Sierra 10.12.4

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot identiteitscontrolesheets op willekeurige websites

Beschrijving: Er was een probleem met vervalsing en denial-of-service bij het verwerken van HTTP-identiteitscontrole. Dit probleem is opgelost door HTTP-identiteitscontrolesheets niet-modaal te maken.

CVE-2017-2389: ShenYeYinJiu van Tencent Security Response Center, TSRC

Safari

Beschikbaar voor: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 en macOS Sierra 10.12.4

Impact: een bezoek aan een kwaadwillige website door op een koppeling te klikken kan leiden tot vervalsing van de gebruikersinterface

Beschrijving: Er was een probleem met vervalsing in het verwerken van FaceTime-prompts. Dit probleem is verholpen door een verbeterde invoervalidatie.

CVE-2017-2453: xisigr van het Xuanwu Lab van Tencent (tencent.com)

Automatisch invullen van wachtwoorden in Safari

Beschikbaar voor: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 en macOS Sierra 10.12.4

Impact: een lokale gebruiker heeft wellicht toegang tot vergrendelde sleutelhangeronderdelen

Beschrijving: een probleem met sleutelhangerverwerking is verholpen door een verbeterd beheer van sleutelhangeronderdelen.

CVE-2017-2385: Simon Woodside van MedStack

WebKit

Beschikbaar voor: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 en macOS Sierra 10.12.4

Impact: het slepen en neerzetten van een kwaadwillig vervaardigde koppeling kan leiden tot vervalsing van bladwijzers of het uitvoeren van willekeurige code

Beschrijving: Er was een validatieprobleem bij het maken van bladwijzers. Dit probleem is verholpen door een verbeterde invoervalidatie.

CVE-2017-2378: xisigr van het Xuanwu Lab van Tencent (tencent.com)

WebKit

Beschikbaar voor: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 en macOS Sierra 10.12.4

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het 'cross-origin' exfiltreren van gegevens

Beschrijving: een probleem met toegang tot prototypen is verholpen door een verbeterde verwerking van uitzonderingen.

CVE-2017-2386: André Bargull

WebKit

Beschikbaar voor: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 en macOS Sierra 10.12.4

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde invoervalidatie.

CVE-2017-2394: Apple

CVE-2017-2396: Apple

CVE-2016-9642: Gustavo Grieco

WebKit

Beschikbaar voor: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 en macOS Sierra 10.12.4

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-2395: Apple

CVE-2017-2454: Ivan Fratric van Google Project Zero, Zheng Huang van Baidu Security Lab in samenwerking met het Zero Day Initiative van Trend Micro 

CVE-2017-2455: Ivan Fratric van Google Project Zero

CVE-2017-2459: Ivan Fratric van Google Project Zero

CVE-2017-2460: Ivan Fratric van Google Project Zero

CVE-2017-2464: Jeonghoon Shin, Natalie Silvanovich van Google Project Zero

CVE-2017-2465: Zheng Huang en Wei Yuan van Baidu Security Lab

CVE-2017-2466: Ivan Fratric van Google Project Zero

CVE-2017-2468: lokihardt van Google Project Zero

CVE-2017-2469: lokihardt van Google Project Zero

CVE-2017-2470: lokihardt van Google Project Zero

CVE-2017-2476: Ivan Fratric van Google Project Zero

CVE-2017-2481: 0011 in samenwerking met het Zero Day Initiative van Trend Micro

Bijgewerkt op 20 juni 2017

WebKit

Beschikbaar voor: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 en macOS Sierra 10.12.4

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met verwarring van het type is verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-2415: Kai Kang van het Xuanwu Lab van Tencent (tencent.com)

WebKit

Beschikbaar voor: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 en macOS Sierra 10.12.4

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het onverwacht niet handhaven van Content Security Policy

Beschrijving: Er was een toegangsprobleem met Content Security Policy.  Dit probleem is verholpen door middel van verbeterde toegangsbeperkingen.

CVE-2017-2419: Nicolai Grødum van Cisco Systems

WebKit

Beschikbaar voor: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 en macOS Sierra 10.12.4

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot hoog geheugenverbruik

Beschrijving: een probleem met onbeheerd bronverbruik is opgelost door verbeterde regex-verwerking.

CVE-2016-9643: Gustavo Grieco

WebKit

Beschikbaar voor: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 en macOS Sierra 10.12.4

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het vrijgeven van procesgeheugen

Beschrijving: Er was een probleem met de vrijgave van informatie bij de verwerking van OpenGL-shaders. Dit probleem is verholpen door een verbeterd geheugenbeheer.

CVE-2017-2424: Paul Thomson (gebruikt de GLFuzz-tool) van de Multicore Programming Group, Imperial College London

WebKit

Beschikbaar voor: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 en macOS Sierra 10.12.4

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2017-2433: Apple

WebKit

Beschikbaar voor: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 en macOS Sierra 10.12.4

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het 'cross-origin' exfiltreren van gegevens

Beschrijving: Er waren meerdere validatieproblemen bij het verwerken van het laden van pagina's. Dit probleem is verholpen door een verbeterde logica.

CVE-2017-2364: lokihardt van Google Project Zero

WebKit

Beschikbaar voor: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 en macOS Sierra 10.12.4

Impact: een kwaadaardige website kan gegevens 'cross-origin' exfiltreren

Beschrijving: Er was een validatieprobleem bij het verwerken van het laden van pagina's. Dit probleem is verholpen door een verbeterde logica.

CVE-2017-2367: lokihardt van Google Project Zero

WebKit

Beschikbaar voor: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 en macOS Sierra 10.12.4

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot universele cross-site-scripting

Beschrijving: Er was een logisch probleem bij de verwerking van frame-objecten. Dit probleem is opgelost door een verbeterd statusbeheer.

CVE-2017-2445: lokihardt van Google Project Zero

WebKit

Beschikbaar voor: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 en macOS Sierra 10.12.4

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: Er was een logisch probleem bij de verwerking van strikte modusfuncties. Dit probleem is opgelost door een verbeterd statusbeheer.

CVE-2017-2446: Natalie Silvanovich van Google Project Zero

WebKit

Beschikbaar voor: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 en macOS Sierra 10.12.4

Impact: het bezoeken van een kwaadwillig vervaardigde website kan gebruikersinformatie in gevaar brengen

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-2447: Natalie Silvanovich van Google Project Zero

WebKit

Beschikbaar voor: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 en macOS Sierra 10.12.4

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-2463: Kai Kang (4B5F5F4B) van het Xuanwu Lab van Tencent (tencent.com) in samenwerking met het Zero Day Initiative van Trend Micro

Toegevoegd op 28 maart 2017

WebKit

Beschikbaar voor: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 en macOS Sierra 10.12.4

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2017-2471: Ivan Fratric van Google Project Zero

WebKit

Beschikbaar voor: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 en macOS Sierra 10.12.4

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot universele cross-site-scripting

Beschrijving: Er was een logisch probleem bij de verwerking van frames. Dit probleem is verholpen door een verbeterd statusbeheer.

CVE-2017-2475: lokihardt van Google Project Zero

WebKit

Beschikbaar voor: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 en macOS Sierra 10.12.4

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het 'cross-origin' exfiltreren van gegevens

Beschrijving: Er was een validatieprobleem bij het verwerken van elementen. Dit probleem is verholpen door een verbeterde validatie.

CVE-2017-2479: lokihardt van Google Project Zero

Toegevoegd op 28 maart 2017

WebKit

Beschikbaar voor: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 en macOS Sierra 10.12.4

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het 'cross-origin' exfiltreren van gegevens

Beschrijving: Er was een validatieprobleem bij het verwerken van elementen. Dit probleem is verholpen door een verbeterde validatie.

CVE-2017-2480: lokihardt van Google Project Zero

CVE-2017-2493: lokihardt van Google Project Zero

Bijgewerkt op 24 april 2017

WebKit

Beschikbaar voor: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 en macOS Sierra 10.12.4

Impact: het bezoeken van een schadelijke website kan leiden tot adresbalkvervalsing

Beschrijving: een probleem met inconsistente gebruikersinterface is opgelost door verbeterd statusbeheer.

CVE-2017-2486: een anonieme onderzoeker

Toegevoegd op 30 maart 2017

WebKit

Beschikbaar voor: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 en macOS Sierra 10.12.4

Impact: een programma kan willekeurige code uitvoeren

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-2392: Max Bazaliy van Lookout

Toegevoegd op 30 maart 2017

WebKit

Beschikbaar voor: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 en macOS Sierra 10.12.4

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-2457: lokihardt van Google Project Zero

Toegevoegd op 30 maart 2017

WebKit

Beschikbaar voor: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 en macOS Sierra 10.12.4

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-7071: Kai Kang (4B5F5F4B) van het Xuanwu Lab van Tencent (tencent.com) in samenwerking met het Zero Day Initiative van Trend Micro 

Toegevoegd op 23 augustus 2017

WebKit JavaScript Bindings

Beschikbaar voor: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 en macOS Sierra 10.12.4

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het 'cross-origin' exfiltreren van gegevens

Beschrijving: Er waren meerdere validatieproblemen bij het verwerken van het laden van pagina's. Dit probleem is verholpen door een verbeterde logica.

CVE-2017-2442: lokihardt van Google Project Zero

WebKit Web Inspector

Beschikbaar voor: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 en macOS Sierra 10.12.4

Impact: het sluiten van een venster terwijl onderbroken in de debugger kan leiden tot onverwacht afsluiten van het programma

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2017-2377: Vicki Pfau

WebKit Web Inspector

Beschikbaar voor: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 en macOS Sierra 10.12.4

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2017-2405: Apple

Aanvullende erkenning

Safari

Met dank aan Flyin9 (ZhenHui Lee) voor de hulp.

WebKit

Met dank aan Yosuke HASEGAWA van Secure Sky Technology Inc. voor zijn hulp.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Aan het gebruik van internet zijn risico’s verbonden. Neem contact op met de leverancier voor meer informatie. Andere bedrijfs- en productnamen zijn mogelijk handelsmerken van de respectievelijke eigenaars.

Publicatiedatum: