Zawartość związana z zabezpieczeniami w przeglądarce Safari 10.1

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w przeglądarce Safari 10.1.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Safari 10.1

CoreGraphics

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2017-2444: Mei Wang z 360 GearTeam

JavaScriptCore

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2017-2491: Apple

JavaScriptCore

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej strony internetowej może spowodować uniwersalny atak XSS (cross-site-scripting).

Opis: naprawiono błąd prototypu przez poprawienie procedur obsługi procesów logicznych.

CVE-2017-2492: lokihardt z Google Project Zero

Safari

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do sfałszowania paska adresu.

Opis: usunięto błąd zarządzania stanem przez wyłączenie możliwości wprowadzania tekstu do momentu wczytania strony docelowej.

CVE-2017-2376: anonimowy badacz, Chris Hlady z Google Inc., Yuyang Zhou z Tencent Security Platform Department (security.tencent.com), Muneaki Nishimura (nishimunea) z Recruit Technologies Co., Ltd., Michal Zalewski z Google Inc., anonimowy badacz

Safari

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej mogło spowodować wyświetlenie arkuszy uwierzytelniania dla dowolnych witryn sieci Web.

Opis: w procedurze obsługi uwierzytelniania HTTP występował błąd umożliwiający fałszowanie adresów i przeprowadzanie ataku typu „odmowa usługi”. Ten błąd naprawiono przez wprowadzenie niemodalnych arkuszy uwierzytelniania HTTP.

CVE-2017-2389: ShenYeYinJiu z Tencent Security Response Center, TSRC

Safari

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: odwiedzenie złośliwej witryny przez kliknięcie łącza może prowadzić do fałszowania interfejsu użytkownika.

Opis: w procedurze obsługi zapytań usługi FaceTime występował błąd umożliwiający fałszowanie adresów. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2017-2453: xisigr z Tencent's Xuanwu Lab (tencent.com)

Automatyczne wstawianie podczas logowania w przeglądarce Safari

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: użytkownik lokalny może uzyskać dostęp do zablokowanych elementów pęku kluczy.

Opis: naprawiono błąd obsługi pęku kluczy przez poprawienie zarządzania elementami pęku kluczy.

CVE-2017-2385: Simon Woodside z MedStack

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przeciągnięcie i upuszczenie złośliwie spreparowanego łącza może doprowadzić do sfałszowania zakładki lub spowodować wykonanie dowolnego kodu.

Opis: podczas tworzenia zakładki występował błąd sprawdzania poprawności. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2017-2378: xisigr z Tencent's Xuanwu Lab (tencent.com)

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może skutkować pobieraniem między różnymi źródłami.

Opis: naprawiono błąd dostępu prototypowego przez poprawienie procedury obsługi wyjątków.

CVE-2017-2386: André Bargull

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2017-2394: Apple

CVE-2017-2396: Apple

CVE-2016-9642: Gustavo Grieco

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-2395: Apple

CVE-2017-2454: Ivan Fratric z Google Project Zero, Zheng Huang z Baidu Security Lab w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2017-2455: Ivan Fratric z Google Project Zero

CVE-2017-2459: Ivan Fratric z Google Project Zero

CVE-2017-2460: Ivan Fratric z Google Project Zero

CVE-2017-2464: Jeonghoon Shin, natashenka z Google Project Zero

CVE-2017-2465: Zheng Huang i Wei Yuan z Baidu Security Lab

CVE-2017-2466: Ivan Fratric z Google Project Zero

CVE-2017-2468: lokihardt z Google Project Zero

CVE-2017-2469: lokihardt z Google Project Zero

CVE-2017-2470: lokihardt z Google Project Zero

CVE-2017-2476: Ivan Fratric z Google Project Zero

CVE-2017-2481: 0011 w ramach programu Zero Day Initiative firmy Trend Micro

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.

CVE-2017-2415: Kai Kang z zespołu Xuanwu Lab firmy Tencent (tencent.com)

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować nieoczekiwane niewymuszone zastosowanie reguł Content Security Policy.

Opis: w regułach Content Security Policy występował błąd dostępu. Ten błąd naprawiono przez ulepszenie ograniczeń dostępu.

CVE-2017-2419: Nicolai Grødum z Cisco Systems

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do dużego wykorzystania pamięci.

Opis: naprawiono błąd niekontrolowanego wykorzystania zasobów przez ulepszenie mechanizmu przetwarzania wyrażeń regularnych.

CVE-2016-9643: Gustavo Grieco

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może doprowadzić do ujawnienia pamięci procesowej.

Opis: w procedurze przetwarzania cieniowania OpenGL występował błąd powodujący ujawnianie informacji. Ten błąd naprawiono przez poprawienie procedur zarządzania pamięcią.

CVE-2017-2424: Paul Thomson (przy użyciu narzędzia GLFuzz) z Multicore Programming Group, Imperial College London

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2017-2433: Apple

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może skutkować pobieraniem między różnymi źródłami.

Opis: w procedurze obsługi wczytywania strony występowało wiele błędów sprawdzania poprawności. Ten błąd naprawiono przez poprawienie procedur obsługi procesów logicznych.

CVE-2017-2364: lokihardt z Google Project Zero

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: złośliwie spreparowana witryna internetowa może przesyłać dane między różnymi źródłami.

Opis: w procedurze obsługi wczytywania strony występował błąd sprawdzania poprawności. Ten błąd naprawiono przez poprawienie procedur obsługi procesów logicznych.

CVE-2017-2367: lokihardt z Google Project Zero

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować atak UXSS (universal cross site scripting).

Opis: w procedurze obsługi obiektów ramek występował błąd logiczny. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem.

CVE-2017-2445: lokihardt z Google Project Zero

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: w procedurach obsługi funkcji trybu rygorystycznego występował błąd logiczny. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem.

CVE-2017-2446: natashenka z Google Project Zero

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do naruszenia bezpieczeństwa informacji użytkownika.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-2447: natashenka z Google Project Zero

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-2463: Kai Kang (4B5F5F4B) z Xuanwu Lab firmy Tencent (tencent.com) w ramach programu Zero Day Initiative firmy Trend Micro

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2017-2471: Ivan Fratric z Google Project Zero

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować atak UXSS (universal cross site scripting).

Opis: w procedurze obsługi ramek występował błąd logiczny. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem.

CVE-2017-2475: lokihardt z Google Project Zero

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może skutkować pobieraniem między różnymi źródłami.

Opis: w procedurze obsługi elementów występował błąd sprawdzania poprawności. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności.

CVE-2017-2479: lokihardt z Google Project Zero

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może skutkować pobieraniem między różnymi źródłami.

Opis: w procedurze obsługi elementów występował błąd sprawdzania poprawności. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności.

CVE-2017-2480: lokihardt z Google Project Zero

CVE-2017-2493: lokihardt z Google Project Zero

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do sfałszowania paska adresu.

Opis: naprawiono błąd dotyczący niespójnego interfejsu użytkownika przez poprawienie mechanizmu zarządzania stanem.

CVE-2017-2486: anonimowy badacz

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-2392: Max Bazaliy z firmy Lookout

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-2457: lokihardt z Google Project Zero

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7071: Kai Kang (4B5F5F4B) z Xuanwu Lab firmy Tencent (tencent.com) w ramach programu Zero Day Initiative firmy Trend Micro

Powiązania JavaScript oprogramowania WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może skutkować pobieraniem między różnymi źródłami.

Opis: w procedurze obsługi wczytywania strony występowało wiele błędów sprawdzania poprawności. Ten błąd naprawiono przez poprawienie procedur obsługi procesów logicznych.

CVE-2017-2442: lokihardt z Google Project Zero

Inspektor www WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: zamknięcie okna w czasie wstrzymania pracy debugera może spowodować nieoczekiwane zakończenie działania aplikacji.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2017-2377: Vicki Pfau

Inspektor www WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2017-2405: Apple

Dodatkowe podziękowania

Safari

Dziękujemy za pomoc Flyin9 (ZhenHui Lee).

Webkit

Chcielibyśmy podziękować za pomoc Yosuke HASEGAWA z Secure Sky Technology Inc.