Om sikkerhetsinnholdet i Safari 10.1

Dette dokumentet beskriver sikkerhetsinnholdet i Safari 10.1.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.

For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet. Du kan kryptere kommunikasjon med Apple ved å bruke PGP-nøkkelen for Apple-produktsikkerhet.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

Safari 10.1

Utgitt 27. mars 2017

CoreGraphics

Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2017-2444: Mei Wang fra 360 GearTeam

JavaScriptCore

Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst gjennom forbedret minnehåndtering.

CVE-2017-2491: Apple

Oppføring lagt til 2. mai 2017

JavaScriptCore

Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4

Virkning: Behandling av en skadelig nettside kan føre til universell skripting mellom nettsteder

Beskrivelse: Et prototypeproblem ble løst gjennom forbedret validering.

CVE-2017-2492: lokihardt fra Google Project Zero

Oppføring oppdatert 24. april 2017

Safari

Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4

Virkning: Besøk på et skadelig nettsted kan føre til falske adresselinjer

Beskrivelse: Et problem med tilstandsadministrering ble løst ved å deaktivere skriving helt til målsiden er lastet inn.

CVE-2017-2376: en anonym forsker, Chris Hlady fra Google Inc, Yuyang Zhou fra Tencent Security Platform Department (security.tencent.com), Muneaki Nishimura (nishimunea) fra Recruit Technologies Co., Ltd., Michal Zalewski fra Google Inc, en anonym forsker

Safari

Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4

Virkning: Behandling av skadelig nettinnhold kan vise autentiseringsark over vilkårlige nettsteder

Beskrivelse: Det var et problem med forfalskning og tjenestenekt i håndteringen av HTTP-autentisering. Problemet ble løst gjennom å gjøre HTTP-autentiseringsark ikke-modale.

CVE-2017-2389: ShenYeYinJiu fra Tencent Security Response Center, TSRC

Safari

Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4

Virkning: Besøk på et skadelig nettsted ved å klikke på en kobling kan føre til forfalsking av brukergrensesnittet

Beskrivelse: Det var et problem med forfalskning i håndteringen av FaceTime-meldinger. Problemet ble løst gjennom forbedret validering av inndata.

CVE-2017-2453: xisigr fra Tencents Xuanwu Lab (tencent.com)

Autofyll ved Safari-pålogging

Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4

Virkning: En lokal bruker kan få tilgang til låste nøkkelringobjekter

Beskrivelse: Et problem med håndteringen av nøkkelringobjekter ble løst gjennom forbedret håndtering av nøkkelringobjekter.

CVE-2017-2385: Simon Woodside fra MedStack

WebKit

Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4

Virkning: Å flytte og slippe en skadelig kobling kan føre til bokmerkeforfalsking eller utføring av vilkårlig kode

Beskrivelse: Det var et valideringsproblem i oppretting av bokmerker. Problemet ble løst gjennom forbedret validering av inndata.

CVE-2017-2378: xisigr fra Tencents Xuanwu Lab (tencent.com)

WebKit

Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4

Virkning: Behandling av skadelig nettinnhold kan eksfiltrere data på tvers av opphav

Beskrivelse: Et problem med tilgang til prototyper ble løst gjennom forbedret unntakshåndtering.

CVE-2017-2386: André Bargull

WebKit

Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2017-2394: Apple

CVE-2017-2396: Apple

CVE-2016-9642: Gustavo Grieco

WebKit

Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-2395: Apple

CVE-2017-2454: Ivan Fratric fra Google Project Zero, Zheng Huang fra Baidu Security Lab som arbeider med Trend Micros Zero Day Initiative 

CVE-2017-2455: Ivan Fratric fra Google Project Zero

CVE-2017-2459: Ivan Fratric fra Google Project Zero

CVE-2017-2460: Ivan Fratric fra Google Project Zero

CVE-2017-2464: Jeonghoon Shin, Natalie Silvanovich fra Google Project Zero

CVE-2017-2465: Zheng Huang og Wei Yuan fra Baidu Security Lab

CVE-2017-2466: Ivan Fratric fra Google Project Zero

CVE-2017-2468: lokihardt fra Google Project Zero

CVE-2017-2469: lokihardt fra Google Project Zero

CVE-2017-2470: lokihardt fra Google Project Zero

CVE-2017-2476: Ivan Fratric fra Google Project Zero

CVE-2017-2481: 0011 som arbeider med Trend Micros Zero Day Initiative

Oppføring oppdatert 20. juni 2017

WebKit

Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret minnehåndtering.

CVE-2017-2415: Kai Kang fra Tencents Xuanwu Lab (tentcent.com)

WebKit

Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4

Virkning: Behandling av skadelig nettinnhold kan føre til at Content Security Policy uventet ikke håndheves

Beskrivelse: Det var et tilgangsproblem i Content Security Policy.  Problemet ble løst gjennom forbedring av tilgangsrestriksjoner.

CVE-2017-2419: Nicolai Grødum fra Cisco Systems

WebKit

Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4

Virkning: Behandling av skadelig nettinnhold kan føre til høyt minnebruk

Beskrivelse: Et problem med ukontrollert ressursbruk ble løst gjennom forbedret behandling av regex-uttrykk.

CVE-2016-9643: Gustavo Grieco

WebKit

Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4

Virkning: Behandling av skadelig nettinnhold kan føre til at prosessminne avsløres

Beskrivelse: Det var et problem med avdekking av informasjon i behandlingen av OpenGL-skyggeleggere. Problemet ble løst gjennom forbedret minnehåndtering.

CVE-2017-2424: Paul Thomson (ved bruk av GLFuzz-verktøyet) fra Multicore Programming Group, Imperial College London

WebKit

Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2017-2433: Apple

WebKit

Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4

Virkning: Behandling av skadelig nettinnhold kan eksfiltrere data på tvers av opphav

Beskrivelse: Det var flere valideringsproblemer i håndteringen av innlasting av sider. Problemet ble løst gjennom forbedret logisk håndtering.

CVE-2017-2364: lokihardt fra Google Project Zero

WebKit

Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4

Virkning: Et skadelig nettsted kan eksfiltrere data på tvers av opphav

Beskrivelse: Det var et valideringsproblem i håndteringen av innlasting av sider. Problemet ble løst gjennom forbedret logisk håndtering.

CVE-2017-2367: lokihardt fra Google Project Zero

WebKit

Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4

Virkning: Behandling av skadelig nettinnhold kan føre til universell skripting mellom nettsteder

Beskrivelse: Det var et logisk problem i håndteringen av rammeobjekter. Problemet ble løst gjennom forbedret tilstandshåndtering.

CVE-2017-2445: lokihardt fra Google Project Zero

WebKit

Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Det var et logisk problem i håndteringen av funksjoner i streng modus. Problemet ble løst gjennom forbedret tilstandshåndtering.

CVE-2017-2446: Natalie Silvanovich fra Google Project Zero

WebKit

Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4

Virkning: Besøk på et skadelig nettsted kan kompromittere brukerinformasjon

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-2447: Natalie Silvanovich fra Google Project Zero

WebKit

Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-2463: Kai Kang (4B5F5F4B) fra Tencents Xuanwu Lab (tencent.com) arbeider med Trend Micros Zero Day Initiative

Oppføring lagt til 28. mars 2017

WebKit

Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst gjennom forbedret minnehåndtering.

CVE-2017-2471: Ivan Fratric fra Google Project Zero

WebKit

Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4

Virkning: Behandling av skadelig nettinnhold kan føre til universell skripting mellom nettsteder

Beskrivelse: Det var et logisk problem i håndteringen av rammer. Problemet ble løst ved forbedret tilstandshåndtering.

CVE-2017-2475: lokihardt fra Google Project Zero

WebKit

Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4

Virkning: Behandling av skadelig nettinnhold kan eksfiltrere data på tvers av opphav

Beskrivelse: Det var et valideringsproblem i håndteringen av elementer. Problemet ble løst gjennom forbedret validering.

CVE-2017-2479: lokihardt fra Google Project Zero

Oppføring lagt til 28. mars 2017

WebKit

Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4

Virkning: Behandling av skadelig nettinnhold kan eksfiltrere data på tvers av opphav

Beskrivelse: Det var et valideringsproblem i håndteringen av elementer. Problemet ble løst gjennom forbedret validering.

CVE-2017-2480: lokihardt fra Google Project Zero

CVE-2017-2493: lokihardt fra Google Project Zero

Oppføring oppdatert 24. april 2017

WebKit

Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4

Virkning: Besøk på et skadelig nettsted kan føre til falske adresselinjer

Beskrivelse: Et problem med inkonsistent brukergrensesnitt ble løst gjennom forbedret tilstandshåndtering.

CVE-2017-2486: en anonym forsker

Oppføring lagt til 30. mars 2017

WebKit

Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4

Virkning: Et program kan utføre vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-2392: Max Bazaliy fra Lookout

Oppføring lagt til 30. mars 2017

WebKit

Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-2457: lokihardt fra Google Project Zero

Oppføring lagt til 30. mars 2017

WebKit

Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-7071: Kai Kang (4B5F5F4B) fra Tencent's Xuanwu Lab (tencent.com) arbeider med Trend Micro's Zero Day Initiative 

Oppføring lagt til 23. august 2017

WebKit JavaScript-bindinger

Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4

Virkning: Behandling av skadelig nettinnhold kan eksfiltrere data på tvers av opphav

Beskrivelse: Det var flere valideringsproblemer i håndteringen av innlasting av sider. Problemet ble løst gjennom forbedret logisk håndtering.

CVE-2017-2442: lokihardt fra Google Project Zero

WebKit Nettinspektør

Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4

Virkning: Lukking av et vindu mens feilsøkeren er midlertidig stanset kan føre til uventet avslutning av et program

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2017-2377: Vicki Pfau

WebKit Nettinspektør

Tilgjengelig for: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 og macOS Sierra 10.12.4

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2017-2405: Apple

Ytterligere anerkjennelse

Safari

Vi vil gjerne takke Flyin9 (ZhenHui Lee) for hjelpen.

Webkit

Vi vil gjerne takke Yosuke HASEGAWA fra Secure Sky Technology Inc. for deres bistand.

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: