Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Więcej informacji na temat zabezpieczeń można znaleźć na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Safari 10.1
Wydano 27 marca 2017 r.
CoreGraphics
Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.
CVE-2017-2444: Mei Wang z 360 GearTeam
JavaScriptCore
Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2017-2491: Apple
Wpis dodano 2 maja 2017 r.
JavaScriptCore
Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4
Zagrożenie: przetworzenie złośliwie spreparowanej strony internetowej może spowodować uniwersalny atak XSS (cross-site-scripting).
Opis: naprawiono błąd prototypu przez poprawienie procedur obsługi procesów logicznych.
CVE-2017-2492: lokihardt z Google Project Zero
Wpis uaktualniono 24 kwietnia 2017 r.
Safari
Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4
Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do sfałszowania paska adresu.
Opis: naprawiono błąd zarządzania stanem przez wyłączenie możliwości wprowadzania tekstu do momentu wczytania strony docelowej.
CVE-2017-2376: anonimowy badacz, Chris Hlady z Google Inc., Yuyang Zhou z Tencent Security Platform Department (security.tencent.com), Muneaki Nishimura (nishimunea) z Recruit Technologies Co., Ltd., Michal Zalewski z Google Inc., anonimowy badacz
Safari
Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej mogło spowodować wyświetlenie arkuszy uwierzytelniania dla dowolnych witryn sieci Web.
Opis: w procedurze obsługi uwierzytelniania HTTP występował błąd umożliwiający fałszowanie adresów i przeprowadzanie ataku typu „odmowa usługi”. Ten błąd naprawiono przez wprowadzenie niemodalnych arkuszy uwierzytelniania HTTP.
CVE-2017-2389: ShenYeYinJiu z Tencent Security Response Center, TSRC
Safari
Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4
Zagrożenie: odwiedzenie złośliwej witryny przez kliknięcie łącza może prowadzić do fałszowania interfejsu użytkownika.
Opis: w procedurze obsługi zapytań usługi FaceTime występował błąd umożliwiający fałszowanie adresów. Ten błąd naprawiono przez poprawienie procedury walidacji danych wejściowych.
CVE-2017-2453: xisigr z Tencent's Xuanwu Lab (tencent.com)
Automatyczne wstawianie podczas logowania w przeglądarce Safari
Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4
Zagrożenie: użytkownik lokalny może uzyskać dostęp do zablokowanych elementów pęku kluczy.
Opis: naprawiono błąd obsługi pęku kluczy przez poprawienie zarządzania elementami pęku kluczy.
CVE-2017-2385: Simon Woodside z MedStack
WebKit
Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4
Zagrożenie: przeciągnięcie i upuszczenie złośliwie spreparowanego łącza może doprowadzić do sfałszowania zakładki lub spowodować wykonanie dowolnego kodu.
Opis: podczas tworzenia zakładki występował błąd walidacji. Ten błąd naprawiono przez poprawienie procedury walidacji danych wejściowych.
CVE-2017-2378: xisigr z Tencent's Xuanwu Lab (tencent.com)
WebKit
Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może skutkować pobieraniem między różnymi źródłami.
Opis: naprawiono błąd dostępu prototypowego przez poprawienie procedury obsługi wyjątków.
CVE-2017-2386: André Bargull
WebKit
Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.
CVE-2017-2394: Apple
CVE-2017-2396: Apple
CVE-2016-9642: Gustavo Grieco
WebKit
Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-2395: Apple
CVE-2017-2454: Ivan Fratric z Google Project Zero, Zheng Huang z Baidu Security Lab w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2017-2455: Ivan Fratric z Google Project Zero
CVE-2017-2459: Ivan Fratric z Google Project Zero
CVE-2017-2460: Ivan Fratric z Google Project Zero
CVE-2017-2464: Jeonghoon Shin, Natalie Silvanovich z Google Project Zero
CVE-2017-2465: Zheng Huang i Wei Yuan z Baidu Security Lab
CVE-2017-2466: Ivan Fratric z Google Project Zero
CVE-2017-2468: lokihardt z Google Project Zero
CVE-2017-2469: lokihardt z Google Project Zero
CVE-2017-2470: lokihardt z Google Project Zero
CVE-2017-2476: Ivan Fratric z Google Project Zero
CVE-2017-2481: 0011 w ramach programu Zero Day Initiative firmy Trend Micro
Wpis uaktualniono 20 czerwca 2017 r.
WebKit
Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.
CVE-2017-2415: Kai Kang z zespołu Xuanwu Lab firmy Tencent (tencent.com)
WebKit
Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować nieoczekiwane niewymuszone zastosowanie reguł Content Security Policy.
Opis: w regułach Content Security Policy występował błąd dostępu. Ten błąd naprawiono przez ulepszenie ograniczeń dostępu.
CVE-2017-2419: Nicolai Grødum z Cisco Systems
WebKit
Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do dużego wykorzystania pamięci.
Opis: naprawiono błąd niekontrolowanego wykorzystania zasobów przez ulepszenie mechanizmu przetwarzania wyrażeń regularnych.
CVE-2016-9643: Gustavo Grieco
WebKit
Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4
Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może doprowadzić do ujawnienia pamięci procesowej.
Opis: w procedurze przetwarzania cieniowania OpenGL występował błąd powodujący ujawnianie informacji. Ten błąd naprawiono przez poprawienie procedur zarządzania pamięcią.
CVE-2017-2424: Paul Thomson (przy użyciu narzędzia GLFuzz) z Multicore Programming Group, Imperial College London
WebKit
Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.
CVE-2017-2433: Apple
WebKit
Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może skutkować pobieraniem między różnymi źródłami.
Opis: w procedurze obsługi wczytywania strony występowało wiele błędów walidacji. Ten błąd naprawiono przez poprawienie procedur obsługi procesów logicznych.
CVE-2017-2364: lokihardt z Google Project Zero
WebKit
Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4
Zagrożenie: złośliwie spreparowana witryna internetowa może przesyłać dane między różnymi źródłami.
Opis: w procedurze obsługi wczytywania strony występował błąd walidacji. Ten błąd naprawiono przez poprawienie procedur obsługi procesów logicznych.
CVE-2017-2367: lokihardt z Google Project Zero
WebKit
Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować uniwersalny atak XSS (cross-site- scripting).
Opis: w procedurze obsługi obiektów ramek występował błąd logiczny. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem.
CVE-2017-2445: lokihardt z Google Project Zero
WebKit
Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: w procedurach obsługi funkcji trybu rygorystycznego występował błąd logiczny. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem.
CVE-2017-2446: Natalie Silvanovich z Google Project Zero
WebKit
Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do naruszenia bezpieczeństwa informacji użytkownika.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-2447: Natalie Silvanovich z Google Project Zero
WebKit
Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-2463: Kai Kang (4B5F5F4B) z Xuanwu Lab firmy Tencent (tencent.com) w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 28 marca 2017 r.
WebKit
Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2017-2471: Ivan Fratric z Google Project Zero
WebKit
Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować uniwersalny atak XSS (cross-site- scripting).
Opis: w procedurze obsługi ramek występował błąd logiczny. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem.
CVE-2017-2475: lokihardt z Google Project Zero
WebKit
Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może skutkować pobieraniem między różnymi źródłami.
Opis: w procedurze obsługi elementów występował błąd walidacji. Ten błąd naprawiono przez poprawienie procedury walidacji.
CVE-2017-2479: lokihardt z Google Project Zero
Wpis dodano 28 marca 2017 r.
WebKit
Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może skutkować pobieraniem między różnymi źródłami.
Opis: w procedurze obsługi elementów występował błąd walidacji. Ten błąd naprawiono przez poprawienie procedury walidacji.
CVE-2017-2480: lokihardt z Google Project Zero
CVE-2017-2493: lokihardt z Google Project Zero
Wpis uaktualniono 24 kwietnia 2017 r.
WebKit
Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4
Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do sfałszowania paska adresu.
Opis: naprawiono błąd dotyczący niespójnego interfejsu użytkownika przez poprawienie mechanizmu zarządzania stanem.
CVE-2017-2486: anonimowy badacz
Wpis dodano 30 marca 2017 r.
WebKit
Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-2392: Max Bazaliy z firmy Lookout
Wpis dodano 30 marca 2017 r.
WebKit
Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-2457: lokihardt z Google Project Zero
Wpis dodano 30 marca 2017 r.
WebKit
Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-7071: Kai Kang (4B5F5F4B) z Xuanwu Lab firmy Tencent (tencent.com) w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 23 sierpnia 2017 r.
Powiązania JavaScript oprogramowania WebKit
Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może skutkować pobieraniem między różnymi źródłami.
Opis: w procedurze obsługi wczytywania strony występowało wiele błędów walidacji. Ten błąd naprawiono przez poprawienie procedur obsługi procesów logicznych.
CVE-2017-2442: lokihardt z Google Project Zero
Inspektor www WebKit
Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4
Zagrożenie: zamknięcie okna w czasie wstrzymania pracy debugera może spowodować nieoczekiwane zakończenie działania aplikacji.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.
CVE-2017-2377: Vicki Pfau
Inspektor www WebKit
Dostępne dla systemów: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12.4
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.
CVE-2017-2405: Apple
Dodatkowe podziękowania
Safari
Dziękujemy za pomoc Flyin9 (ZhenHui Lee).
Webkit
Chcielibyśmy podziękować za pomoc Yosuke HASEGAWA z Secure Sky Technology Inc.