Uaktualnienia zabezpieczeń firmy Apple
W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Więcej informacji na temat zabezpieczeń można znaleźć na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z firmą Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Gdy jest to możliwe, w dokumentach firmy Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Safari 10.0.3
Wydano 23 stycznia 2017 r.
Safari
Dostępne dla: systemów OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.3
Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do sfałszowania paska adresu.
Opis: naprawiono błąd zarządzania stanem występujący na pasku adresu przez poprawienie procedury obsługi adresów URL.
CVE-2017-2359: xisigr z Xuanwu Lab firmy Tencent (tencent.com)
WebKit
Dostępne dla: systemów OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.3
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości WWW może skutkować pobieraniem między różnymi źródłami
Opis: naprawiono błąd dostępu prototypowego przez poprawienie procedury obsługi wyjątków.
CVE-2017-2350: Gareth Heyes z Portswigger Web Security
WebKit
Dostępne dla: systemów OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.3
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej mogło spowodować wykonanie dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-2354: Neymar z Xuanwu Lab firmy Tencent (tencent.com) w ramach programu Zero Day Initiative formy Trend Micro
CVE-2017-2362: Ivan Fratric z Google Project Zero
CVE-2017-2373: Ivan Fratric z Google Project Zero
WebKit
Dostępne dla: systemów OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.3
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej mogło spowodować wykonanie dowolnego kodu.
Opis: naprawiono błąd inicjalizacji pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-2355: Team Pangu i lokihardt na PwnFest 2016
WebKit
Dostępne dla: systemów OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.3
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej mogło spowodować wykonanie dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.
CVE-2017-2356: Team Pangu i lokihardt na PwnFest 2016
CVE-2017-2369: Ivan Fratric z Google Project Zero
CVE-2017-2366: Kai Kang z zespołu Xuanwu Lab firmy Tencent (tencent.com)
WebKit
Dostępne dla: systemów OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.3
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości WWW może skutkować pobieraniem między różnymi źródłami
Opis: w procedurze obsługi wczytywania strony występowało wiele błędów walidacji. Ten błąd naprawiono przez poprawienie procedur obsługi procesów logicznych.
CVE-2017-2363: lokihardt z Google Project Zero
CVE-2017-2364: lokihardt z Google Project Zero
WebKit
Dostępne dla: systemów OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.3
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości WWW może skutkować pobieraniem między różnymi źródłami
Opis: w procedurze obsługi zmiennych występował błąd walidacji. Ten błąd naprawiono przez poprawienie procedury walidacji.
CVE-2017-2365: lokihardt z Google Project Zero
Dodatkowe podziękowania
Dodatkowe zabezpieczenie WebKit
Chcielibyśmy podziękować za pomoc następującym osobom: Ben Gras, Kaveh Razavi, Erik Bosman, Herbert Bos oraz Cristiano Giuffrida z grupy vusec na Vrije Universiteit w Amsterdamie.