Om sikkerhetsinnholdet i Safari 10

Dette dokumentet beskriver sikkerhetsinnholdet i Safari 10.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.

For mer informasjon om sikkerhet kan du gå til siden for Apple Produktsikkerhet. Du kan kryptere kommunikasjon med Apple ved å bruke PGP-nøkkelen for Apple Produktsikkerhet.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

Safari 10

Utgitt 20. september 2016

Leserfunksjonen i Safari

Tilgjengelig for OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12

Virkning: Aktivering av leserfunksjonen i Safari på en nettside med skadelig innhold kan føre til universelle skriptingangrep mellom nettsteder

Beskrivelse: Flere valideringsproblemer ble løst gjennom forbedret rensing av inndata.

CVE-2016-4618: Erling Ellingsen

Oppføring oppdatert 23. september 2016

Safari-faner

Tilgjengelig for OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12

Virkning: Besøk på et skadelig nettsted kan føre til falske faner

Beskrivelse: Det var et problem med tilstandsadministrasjon i håndteringen av faneøkter. Problemet ble løst gjennom forbedret økttilstandshåndtering.

CVE-2016-4751: Daniel Chatfield hos Monzo Bank

WebKit

Tilgjengelig for OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12

Virkning: Behandling av skadelig nettinnhold kan føre til at vilkårlig kode kjøres

Beskrivelse: Det var et problem i analysen av feilprototyper. Problemet ble løst gjennom forbedret validering.

CVE-2016-4728: Daniel Divricean

WebKit

Tilgjengelig for OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12

Virkning: Besøk på et skadelig nettsted kan føre til at sensitive opplysninger lekkes

Beskrivelse: Det var et problem med tillatelser i håndteringen av posisjonsvariabelen. Problemet ble løst gjennom ytterligere kontroller av eierskap.

CVE-2016-4758: Masato Kinugawa hos Cure53

WebKit

Tilgjengelig for OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12

Virkning: Behandling av skadelig nettinnhold kan føre til at vilkårlig kode kjøres

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2016-4611: Apple

CVE-2016-4729: Apple

CVE-2016-4730: Apple

CVE-2016-4731: Apple

CVE-2016-4734: Natalie Silvanovich hos Google Project Zero

CVE-2016-4735: André Bargull

CVE-2016-4737: Apple

CVE-2016-4759: Tongbo Luo hos Palo Alto Networks

CVE-2016-4762: Zheng Huang hos Baidu Security Lab

CVE-2016-4766: Apple

CVE-2016-4767: Apple

CVE-2016-4768: En anonym arbeider med Trend Micros Zero Day Initiative

CVE-2016-4769: Tongbo Luo hos Palo Alto Networks

WebKit

Tilgjengelig for OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12

Virkning: Et skadelig nettsted kan få tilgang til tjenester uten HTTP

Beskrivelse: Safari-støtten for HTTP/0.9 gjorde kryssprotokoll-utnyttelse av tjenester uten HTTP mulig via ny DNS-tilknytning. Problemet ble løst ved å begrense HTTP/0.9-svar til standardporter og avbryte ressurslaster hvis dokumentet ble lastet inn med en annen HTTP-protokollversjon.

CVE-2016-4760: Jordan Milne

WebKit

Tilgjengelig for OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12

Virkning: Behandling av skadelig nettinnhold kan føre til at vilkårlig kode kjøres

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret tilstandshåndtering.

CVE-2016-4733: Natalie Silvanovich hos Google Project Zero

CVE-2016-4765: Apple

WebKit

Tilgjengelig for OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12

Virkning: En angriper i en privilegert nettverksposisjon kan kanskje avskjære og endre nettverkstrafikk til programmer ved hjelp av WKWebView med HTTPS

Beskrivelse: Det var et valideringsproblem i sertifiseringskjeden ved håndtering av WKWebView. Problemet ble løst gjennom forbedret validering.

CVE-2016-4763: en anonym forsker

WebKit

Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12

Virkning: Behandling av skadelig nettinnhold kan føre til at vilkårlig kode kjøres

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret tilstandshåndtering.

CVE-2016-4764: Apple

Oppføring lagt til 3. november 2016

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: