Om sikkerhetsinnholdet i Safari 10
Dette dokumentet beskriver sikkerhetsinnholdet i Safari 10.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.
Hvis du vil ha mer informasjon om sikkerhet, kan du gå til siden for Apple Produktsikkerhet. Du kan kryptere kommunikasjon med Apple ved å bruke PGP-nøkkelen for Apple-produktsikkerhet.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
Safari 10
Leserfunksjonen i Safari
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12
Virkning: Aktivering av leserfunksjonen i Safari på en skadelig nettside kan føre til universell skripting mellom nettsteder
Beskrivelse: Flere valideringsproblemer ble løst gjennom forbedret inndatarensing.
CVE-2016-4618: Erling Ellingsen
Safari-faner
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12
Virkning: Besøk på et skadelig nettsted kan føre til falske adresselinjer
Beskrivelse: Det var et problem med tilstandsadministrasjon i håndteringen av faneøkter. Problemet ble løst gjennom forbedret økttilstandshåndtering.
CVE-2016-4751: Daniel Chatfield hos Monzo Bank
WebKit
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Det var et analyseproblem i håndteringen av feilprototyper. Dette ble håndtert gjennom forbedret validering.
CVE-2016-4728: Daniel Divricean
WebKit
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12
Virkning: Besøk på et skadelig nettsted kan lekke sensitive opplysninger
Beskrivelse: Det var et problem med tillatelser i håndteringen av posisjonsvariabelen. Problemet ble løst gjennom ytterligere kontroller av eierskap.
CVE-2016-4758: Masato Kinugawa fra Cure53
WebKit
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2016-4611: Apple
CVE-2016-4729: Apple
CVE-2016-4730: Apple
CVE-2016-4731: Apple
CVE-2016-4734: natashenka fra Google Project Zero
CVE-2016-4735: André Bargull
CVE-2016-4737: Apple
CVE-2016-4759: Tongbo Luo fra Palo Alto Networks
CVE-2016-4762: Zheng Huang fra Baidu Security Lab
CVE-2016-4766: Apple
CVE-2016-4767: Apple
CVE-2016-4768: Anonym som jobber med Trend Micros Zero Day Initiative
CVE-2016-4769: Tongbo Luo fra Palo Alto Networks
WebKit
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12
Virkning: Et skadelig nettsted kan få tilgang til ikke-HTTP-tjenester
Beskrivelse: Safaris støtte for HTTP/0.9 tillot utnyttelse av ikke-HTTP-tjenester på tvers av protokoller ved hjelp av DNS-ombinding. Problemet ble løst ved å begrense HTTP/0.9-svar til standardporter og å avbryte ressurslasting hvis dokumentet ble lastet med en annen HTTP-protokollversjon.
CVE-2016-4760: Jordan Milne
WebKit
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret tilstandshåndtering.
CVE-2016-4733: natashenka fra Google Project Zero
CVE-2016-4765: Apple
WebKit
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12
Virkning: En angriper som har en nettverksplassering med rettigheter, kan være i stand til å fange opp og endre nettverkstrafikk ved hjelp av WKWebView med HTTPS
Beskrivelse: Det var et problem med sertifikatvalidering i håndteringen av WKWebView. Problemet ble løst gjennom forbedret validering.
CVE-2016-4763: en anonym forsker
WebKit
Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6, og macOS Sierra 10.12
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret tilstandshåndtering.
CVE-2016-4764: Apple
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.