Zawartość związana z zabezpieczeniami w przeglądarce Safari 10.1

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w przeglądarce Safari 10.1.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Więcej informacji na temat zabezpieczeń można znaleźć na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Safari 10.1

Wydano 27 marca 2017 r.

CoreGraphics

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2444: Mei Wang z 360 GearTeam

JavaScriptCore

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2017-2491: Apple

Wpis dodano 2 maja 2017 r.

JavaScriptCore

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej strony internetowej może spowodować uniwersalny atak XSS (cross-site-scripting).

Opis: naprawiono błąd prototypu przez poprawienie procedur obsługi procesów logicznych.

CVE-2017-2492: lokihardt z Google Project Zero

Wpis uaktualniono 24 kwietnia 2017 r.

Safari

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do sfałszowania paska adresu.

Opis: naprawiono błąd zarządzania stanem przez wyłączenie możliwości wprowadzania tekstu do momentu wczytania strony docelowej.

CVE-2017-2376: anonimowy badacz, Chris Hlady z Google Inc., Yuyang Zhou z Tencent Security Platform Department (security.tencent.com), Muneaki Nishimura (nishimunea) z Recruit Technologies Co., Ltd., Michal Zalewski z Google Inc., anonimowy badacz

Safari

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej mogło spowodować wyświetlenie arkuszy uwierzytelniania dla dowolnych witryn sieci Web.

Opis: w procedurze obsługi uwierzytelniania HTTP występował błąd umożliwiający fałszowanie adresów i przeprowadzanie ataku typu „odmowa usługi”. Ten błąd naprawiono przez wprowadzenie niemodalnych arkuszy uwierzytelniania HTTP.

CVE-2017-2389: ShenYeYinJiu z Tencent Security Response Center, TSRC

Safari

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: odwiedzenie złośliwej witryny przez kliknięcie łącza może prowadzić do fałszowania interfejsu użytkownika.

Opis: w procedurze obsługi zapytań usługi FaceTime występował błąd umożliwiający fałszowanie adresów. Ten błąd naprawiono przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2453: xisigr z Tencent's Xuanwu Lab (tencent.com)

Automatyczne wstawianie podczas logowania w przeglądarce Safari

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: użytkownik lokalny może uzyskać dostęp do zablokowanych elementów pęku kluczy.

Opis: naprawiono błąd obsługi pęku kluczy przez poprawienie zarządzania elementami pęku kluczy.

CVE-2017-2385: Simon Woodside z MedStack

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przeciągnięcie i upuszczenie złośliwie spreparowanego łącza może doprowadzić do sfałszowania zakładki lub spowodować wykonanie dowolnego kodu.

Opis: podczas tworzenia zakładki występował błąd walidacji. Ten błąd naprawiono przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2378: xisigr z Tencent's Xuanwu Lab (tencent.com)

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może skutkować pobieraniem między różnymi źródłami.

Opis: naprawiono błąd dostępu prototypowego przez poprawienie procedury obsługi wyjątków.

CVE-2017-2386: André Bargull

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2394: Apple

CVE-2017-2396: Apple

CVE-2016-9642: Gustavo Grieco

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-2395: Apple

CVE-2017-2454: Ivan Fratric z Google Project Zero, Zheng Huang z Baidu Security Lab w ramach programu Zero Day Initiative firmy Trend Micro 

CVE-2017-2455: Ivan Fratric z Google Project Zero

CVE-2017-2459: Ivan Fratric z Google Project Zero

CVE-2017-2460: Ivan Fratric z Google Project Zero

CVE-2017-2464: Jeonghoon Shin, Natalie Silvanovich z Google Project Zero

CVE-2017-2465: Zheng Huang i Wei Yuan z Baidu Security Lab

CVE-2017-2466: Ivan Fratric z Google Project Zero

CVE-2017-2468: lokihardt z Google Project Zero

CVE-2017-2469: lokihardt z Google Project Zero

CVE-2017-2470: lokihardt z Google Project Zero

CVE-2017-2476: Ivan Fratric z Google Project Zero

CVE-2017-2481: 0011 w ramach programu Zero Day Initiative firmy Trend Micro

Wpis uaktualniono 20 czerwca 2017 r.

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.

CVE-2017-2415: Kai Kang z zespołu Xuanwu Lab firmy Tencent (tencent.com)

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować nieoczekiwane niewymuszone zastosowanie reguł Content Security Policy.

Opis: w regułach Content Security Policy występował błąd dostępu.  Ten błąd naprawiono przez ulepszenie ograniczeń dostępu.

CVE-2017-2419: Nicolai Grødum z Cisco Systems

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do dużego wykorzystania pamięci.

Opis: naprawiono błąd niekontrolowanego wykorzystania zasobów przez ulepszenie mechanizmu przetwarzania wyrażeń regularnych.

CVE-2016-9643: Gustavo Grieco

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może doprowadzić do ujawnienia pamięci procesowej.

Opis: w procedurze przetwarzania cieniowania OpenGL występował błąd powodujący ujawnianie informacji. Ten błąd naprawiono przez poprawienie procedur zarządzania pamięcią.

CVE-2017-2424: Paul Thomson (przy użyciu narzędzia GLFuzz) z Multicore Programming Group, Imperial College London

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2433: Apple

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może skutkować pobieraniem między różnymi źródłami.

Opis: w procedurze obsługi wczytywania strony występowało wiele błędów walidacji. Ten błąd naprawiono przez poprawienie procedur obsługi procesów logicznych.

CVE-2017-2364: lokihardt z Google Project Zero

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: złośliwie spreparowana witryna internetowa może przesyłać dane między różnymi źródłami.

Opis: w procedurze obsługi wczytywania strony występował błąd walidacji. Ten błąd naprawiono przez poprawienie procedur obsługi procesów logicznych.

CVE-2017-2367: lokihardt z Google Project Zero

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować uniwersalny atak XSS (cross-site- scripting).

Opis: w procedurze obsługi obiektów ramek występował błąd logiczny. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem.

CVE-2017-2445: lokihardt z Google Project Zero

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: w procedurach obsługi funkcji trybu rygorystycznego występował błąd logiczny. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem.

CVE-2017-2446: Natalie Silvanovich z Google Project Zero

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do naruszenia bezpieczeństwa informacji użytkownika.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-2447: Natalie Silvanovich z Google Project Zero

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-2463: Kai Kang (4B5F5F4B) z Xuanwu Lab firmy Tencent (tencent.com) w ramach programu Zero Day Initiative firmy Trend Micro

Wpis dodano 28 marca 2017 r.

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2017-2471: Ivan Fratric z Google Project Zero

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować uniwersalny atak XSS (cross-site- scripting).

Opis: w procedurze obsługi ramek występował błąd logiczny. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem.

CVE-2017-2475: lokihardt z Google Project Zero

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może skutkować pobieraniem między różnymi źródłami.

Opis: w procedurze obsługi elementów występował błąd walidacji. Ten błąd naprawiono przez poprawienie procedury walidacji.

CVE-2017-2479: lokihardt z Google Project Zero

Wpis dodano 28 marca 2017 r.

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może skutkować pobieraniem między różnymi źródłami.

Opis: w procedurze obsługi elementów występował błąd walidacji. Ten błąd naprawiono przez poprawienie procedury walidacji.

CVE-2017-2480: lokihardt z Google Project Zero

CVE-2017-2493: lokihardt z Google Project Zero

Wpis uaktualniono 24 kwietnia 2017 r.

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do sfałszowania paska adresu.

Opis: naprawiono błąd dotyczący niespójnego interfejsu użytkownika przez poprawienie mechanizmu zarządzania stanem.

CVE-2017-2486: anonimowy badacz

Wpis dodano 30 marca 2017 r.

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-2392: Max Bazaliy z firmy Lookout

Wpis dodano 30 marca 2017 r.

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-2457: lokihardt z Google Project Zero

Wpis dodano 30 marca 2017 r.

WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7071: Kai Kang (4B5F5F4B) z Xuanwu Lab firmy Tencent (tencent.com) w ramach programu Zero Day Initiative firmy Trend Micro 

Wpis dodano 23 sierpnia 2017 r.

Powiązania JavaScript oprogramowania WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może skutkować pobieraniem między różnymi źródłami.

Opis: w procedurze obsługi wczytywania strony występowało wiele błędów walidacji. Ten błąd naprawiono przez poprawienie procedur obsługi procesów logicznych.

CVE-2017-2442: lokihardt z Google Project Zero

Inspektor www WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: zamknięcie okna w czasie wstrzymania pracy debugera może spowodować nieoczekiwane zakończenie działania aplikacji.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2377: Vicki Pfau

Inspektor www WebKit

Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2405: Apple

Dodatkowe podziękowania

Safari

Dziękujemy za pomoc Flyin9 (ZhenHui Lee).

Webkit

Chcielibyśmy podziękować za pomoc Yosuke HASEGAWA z Secure Sky Technology Inc.

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: