Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Więcej informacji na temat zabezpieczeń można znaleźć na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Safari 11
Wydano 19 września 2017 r.
Safari
Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13
Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do sfałszowania paska adresu.
Opis: usunięto błąd dotyczący niespójnego interfejsu użytkownika przez poprawienie mechanizmu zarządzania stanem.
CVE-2017-7085: xisigr z Xuanwu Lab firmy Tencent (tencent.com)
WebKit
Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2017-7081: Apple
Wpis dodano 25 września 2017 r.
WebKit
Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-7087: Apple
CVE-2017-7091: Wei Yuan z Baidu Security Lab w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2017-7092: Samuel Gro i Niklas Baumstark w ramach programu Zero Day Initiative firmy Trend Micro, Qixun Zhao (@S0rryMybad) z Qihoo 360 Vulcan Team
CVE-2017-7093: Samuel Gro i Niklas Baumstark w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2017-7094: Tim Michaud (@TimGMichaud) z Leviathan Security Group
CVE-2017-7095: Wang Junjie, Wei Lei i Liu Yang z Nanyang Technological University w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2017-7096: Wei Yuan z Baidu Security Lab
CVE-2017-7098: Felipe Freitas z Instituto Tecnológico de Aeronáutica
CVE-2017-7099: Apple
CVE-2017-7100: Masato Kinugawa i Mario Heiderich z Cure53
CVE-2017-7102: Wang Junjie, Wei Lei i Liu Yang z Nanyang Technological University
CVE-2017-7104: likemeng z Baidu Secutity Lab
CVE-2017-7107: Wang Junjie, Wei Lei i Liu Yang z Nanyang Technological University
CVE-2017-7111: likemeng z Baidu Security Lab (xlab.baidu.com) w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2017-7117: lokihardt z Google Project Zero
CVE-2017-7120: chenqin (陈钦) z Ant-financial Light-Year Security Lab
Wpis dodano 25 września 2017 r.
WebKit
Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować atak UXSS (universal cross site scripting).
Opis: w procedurze obsługi elementu parent-tab występował błąd logiczny. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem.
CVE-2017-7089: Anton Lopanitsyn z ONSEC, Frans Rosén z Detectify
WebKit
Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13
Zagrożenie: pliki cookie należące do jednego źródła mogą zostać wysłane do innego źródła.
Opis: w procedurach obsługi plików cookie przeglądarki internetowej występował problem z uprawnieniami. Ten błąd naprawiono przez wyłączenie zwracania plików cookie dla niestandardowych schematów adresów URL.
CVE-2017-7090: Apple
Wpis dodano 25 września 2017 r.
WebKit
Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13
Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do sfałszowania paska adresu.
Opis: usunięto błąd dotyczący niespójnego interfejsu użytkownika przez poprawienie mechanizmu zarządzania stanem.
CVE-2017-7106: Oliver Paukstadt z Thinking Objects GmbH (to.com)
WebKit
Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować atak XSS (cross-site-scripting).
Opis: istniała możliwość zastosowania zasad bufora aplikacji w nieoczekiwany sposób.
CVE-2017-7109: avlidienbrunn
Wpis dodano 25 września 2017 r.
WebKit
Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13
Zagrożenie: złośliwie spreparowana witryna może śledzić użytkowników, gdy w przeglądarce Safari jest włączony tryb przeglądania prywatnego.
Opis: w procedurach obsługi plików cookie przeglądarki internetowej występował problem z uprawnieniami. Ten błąd naprawiono przez poprawienie ograniczeń.
CVE-2017-7144: Mohammad Ghasemisharif z BITS Lab firmy UIC
Wpis uaktualniono 9 października 2017 r.
Magazyn WebKit
Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13
Zagrożenie: dane witryny internetowej mogą się utrzymać po sesji przeglądania prywatnego w przeglądarce Safari.
Opis: w procedurze obsługi danych witryny internetowej w oknach przeglądania prywatnego w przeglądarce Safari występował błąd związany z ujawnieniem informacji. Ten błąd naprawiono przez poprawienie procedur obsługi danych.
CVE-2017-7142: Rich Shawn O’Connell, anonimowi badacze
Wpis dodano 25 września 2017 r., uaktualniono 10 listopada 2017 r.
Dodatkowe podziękowania
WebKit
Specjalne podziękowania za pomoc dla: xisigr z Xuanwu Lab firmy Tencent (tencent.com).
WebKit
Specjalne podziękowania za pomoc dla: Rayyan Bijoora (@Bijoora) z The City School, PAF Chapter.
WebKit
Dziękujemy za pomoc redrain (hongyu z 360CERT).
Wpis dodano 14 lutego 2018 r.
Pełny ekran WebKit
Specjalne podziękowania za pomoc dla: xisigr z Xuanwu Lab firmy Tencent (tencent.com).
Wpis dodano 14 lutego 2018 r.