Om sikkerhetsinnholdet i Safari 10.1
Dette dokumentet beskriver sikkerhetsinnholdet i Safari 10.1.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet. Du kan kryptere kommunikasjon med Apple ved å bruke PGP-nøkkelen for Apple-produktsikkerhet.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
Safari 10.1
CoreGraphics
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2017-2444: Mei Wang fra 360 GearTeam
JavaScriptCore
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst gjennom forbedret minnehåndtering.
CVE-2017-2491: Apple
JavaScriptCore
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4
Virkning: Behandling av en skadelig nettside kan føre til universell skripting mellom nettsteder
Beskrivelse: Et prototypeproblem ble løst gjennom forbedret validering.
CVE-2017-2492: lokihardt fra Google Project Zero
Safari
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4
Virkning: Besøk på et skadelig nettsted kan føre til falske adresselinjer
Beskrivelse: Et problem med tilstandsadministrering ble løst ved å deaktivere skriving helt til målsiden er lastet inn.
CVE-2017-2376: en anonym forsker, Chris Hlady fra Google Inc, Yuyang Zhou fra Tencent Security Platform Department (security.tencent.com), Muneaki Nishimura (nishimunea) fra Recruit Technologies Co., Ltd., Michal Zalewski fra Google Inc, en anonym forsker
Safari
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4
Virkning: Behandling av skadelig nettinnhold kan vise autentiseringsark over vilkårlige nettsteder
Beskrivelse: Det var et problem med forfalskning og tjenestenekt i håndteringen av HTTP-autentisering. Problemet ble løst gjennom å gjøre HTTP-autentiseringsark ikke-modale.
CVE-2017-2389: ShenYeYinJiu fra Tencent Security Response Center, TSRC
Safari
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4
Virkning: Besøk på et skadelig nettsted ved å klikke på en kobling kan føre til forfalsking av brukergrensesnittet
Beskrivelse: Det var et problem med forfalskning i håndteringen av FaceTime-meldinger. Problemet ble løst gjennom forbedret validering av inndata.
CVE-2017-2453: xisigr fra Tencents Xuanwu Lab (tencent.com)
Autofyll ved Safari-pålogging
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4
Virkning: En lokal bruker kan få tilgang til låste nøkkelringobjekter
Beskrivelse: Et problem med håndteringen av nøkkelringobjekter ble løst gjennom forbedret håndtering av nøkkelringobjekter.
CVE-2017-2385: Simon Woodside fra MedStack
WebKit
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4
Virkning: Å flytte og slippe en skadelig kobling kan føre til bokmerkeforfalsking eller utføring av vilkårlig kode
Beskrivelse: Det var et valideringsproblem i oppretting av bokmerker. Problemet ble løst gjennom forbedret validering av inndata.
CVE-2017-2378: xisigr fra Tencents Xuanwu Lab (tencent.com)
WebKit
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4
Virkning: Behandling av skadelig nettinnhold kan eksfiltrere data på tvers av opphav
Beskrivelse: Et problem med tilgang til prototyper ble løst gjennom forbedret unntakshåndtering.
CVE-2017-2386: André Bargull
WebKit
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2017-2394: Apple
CVE-2017-2396: Apple
CVE-2016-9642: Gustavo Grieco
WebKit
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2017-2395: Apple
CVE-2017-2454: Ivan Fratric fra Google Project Zero, Zheng Huang fra Baidu Security Lab som arbeider med Trend Micros Zero Day Initiative
CVE-2017-2455: Ivan Fratric fra Google Project Zero
CVE-2017-2459: Ivan Fratric fra Google Project Zero
CVE-2017-2460: Ivan Fratric fra Google Project Zero
CVE-2017-2464: Jeonghoon Shin, natashenka fra Google Project Zero
CVE-2017-2465: Zheng Huang og Wei Yuan fra Baidu Security Lab
CVE-2017-2466: Ivan Fratric fra Google Project Zero
CVE-2017-2468: lokihardt fra Google Project Zero
CVE-2017-2469: lokihardt fra Google Project Zero
CVE-2017-2470: lokihardt fra Google Project Zero
CVE-2017-2476: Ivan Fratric fra Google Project Zero
CVE-2017-2481: 0011 som arbeider med Trend Micros Zero Day Initiative
WebKit
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret minnehåndtering.
CVE-2017-2415: Kai Kang fra Tencents Xuanwu Lab (tentcent.com)
WebKit
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4
Virkning: Behandling av skadelig nettinnhold kan føre til at Content Security Policy uventet ikke håndheves
Beskrivelse: Det var et tilgangsproblem i Content Security Policy. Problemet ble løst gjennom forbedring av tilgangsrestriksjoner.
CVE-2017-2419: Nicolai Grødum fra Cisco Systems
WebKit
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4
Virkning: Behandling av skadelig nettinnhold kan føre til høyt minnebruk
Beskrivelse: Et problem med ukontrollert ressursbruk ble løst gjennom forbedret behandling av regex-uttrykk.
CVE-2016-9643: Gustavo Grieco
WebKit
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4
Virkning: Behandling av skadelig nettinnhold kan føre til at prosessminne avsløres
Beskrivelse: Det var et problem med avdekking av informasjon i behandlingen av OpenGL-skyggeleggere. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-2017-2424: Paul Thomson (ved bruk av GLFuzz-verktøyet) fra Multicore Programming Group, Imperial College London
WebKit
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2017-2433: Apple
WebKit
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4
Virkning: Behandling av skadelig nettinnhold kan eksfiltrere data på tvers av opphav
Beskrivelse: Det var flere valideringsproblemer i håndteringen av innlasting av sider. Problemet ble løst gjennom forbedret logisk håndtering.
CVE-2017-2364: lokihardt fra Google Project Zero
WebKit
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4
Virkning: Et skadelig nettsted kan eksfiltrere data på tvers av opphav
Beskrivelse: Det var et valideringsproblem i håndteringen av innlasting av sider. Problemet ble løst gjennom forbedret logisk håndtering.
CVE-2017-2367: lokihardt fra Google Project Zero
WebKit
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4
Virkning: Behandling av skadelig nettinnhold kan føre til universell skripting mellom nettsteder
Beskrivelse: Det var et logisk problem i håndteringen av rammeobjekter. Problemet ble løst gjennom forbedret tilstandshåndtering.
CVE-2017-2445: lokihardt fra Google Project Zero
WebKit
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Det var et logisk problem i håndteringen av funksjoner i streng modus. Problemet ble løst gjennom forbedret tilstandshåndtering.
CVE-2017-2446: natashenka fra Google Project Zero
WebKit
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4
Virkning: Besøk på et skadelig nettsted kan kompromittere brukerinformasjon
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2017-2447: natashenka fra Google Project Zero
WebKit
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2017-2463: Kai Kang (4B5F5F4B) fra Tencents Xuanwu Lab (tencent.com) arbeider med Trend Micros Zero Day Initiative
WebKit
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst gjennom forbedret minnehåndtering.
CVE-2017-2471: Ivan Fratric fra Google Project Zero
WebKit
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4
Virkning: Behandling av skadelig nettinnhold kan føre til universell skripting mellom nettsteder
Beskrivelse: Det var et logisk problem i håndteringen av rammer. Problemet ble løst ved forbedret tilstandshåndtering.
CVE-2017-2475: lokihardt fra Google Project Zero
WebKit
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4
Virkning: Behandling av skadelig nettinnhold kan eksfiltrere data på tvers av opphav
Beskrivelse: Det var et valideringsproblem i håndteringen av elementer. Problemet ble løst gjennom forbedret validering.
CVE-2017-2479: lokihardt fra Google Project Zero
WebKit
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4
Virkning: Behandling av skadelig nettinnhold kan eksfiltrere data på tvers av opphav
Beskrivelse: Det var et valideringsproblem i håndteringen av elementer. Problemet ble løst gjennom forbedret validering.
CVE-2017-2480: lokihardt fra Google Project Zero
CVE-2017-2493: lokihardt fra Google Project Zero
WebKit
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4
Virkning: Besøk på et skadelig nettsted kan føre til falske adresselinjer
Beskrivelse: Et problem med inkonsistent brukergrensesnitt ble løst gjennom forbedret tilstandshåndtering.
CVE-2017-2486: en anonym forsker
WebKit
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4
Virkning: Et program kan utføre vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2017-2392: Max Bazaliy fra Lookout
WebKit
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2017-2457: lokihardt fra Google Project Zero
WebKit
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2017-7071: Kai Kang (4B5F5F4B) fra Tencent's Xuanwu Lab (tencent.com) arbeider med Trend Micro's Zero Day Initiative
WebKit JavaScript-bindinger
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4
Virkning: Behandling av skadelig nettinnhold kan eksfiltrere data på tvers av opphav
Beskrivelse: Det var flere valideringsproblemer i håndteringen av innlasting av sider. Problemet ble løst gjennom forbedret logisk håndtering.
CVE-2017-2442: lokihardt fra Google Project Zero
WebKit Nettinspektør
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4
Virkning: Lukking av et vindu mens feilsøkeren er midlertidig stanset kan føre til uventet avslutning av et program
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2017-2377: Vicki Pfau
WebKit Nettinspektør
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2017-2405: Apple
Ytterligere anerkjennelse
Safari
Vi vil gjerne takke Flyin9 (ZhenHui Lee) for hjelpen.
Webkit
Vi vil gjerne takke Yosuke HASEGAWA fra Secure Sky Technology Inc. for deres bistand.
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.