Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Więcej informacji na temat zabezpieczeń można znaleźć na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Safari 11.0.2
Wydano 6 grudnia 2017 r.
WebKit
Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13.2
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-13885: 360 Security w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 22 stycznia 2018 r.
WebKit
Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13.2
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-7165: 360 Security w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 22 stycznia 2018 r.
WebKit
Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13.2
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-13884: 360 Security w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 22 stycznia 2018 r.
WebKit
Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13.2
Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do spreparowania interfejsu użytkownika.
Opis: odpowiedzi przekierowania do strony błędu 401 Unauthorized mogą umożliwić złośliwej witrynie niepoprawne wyświetlanie ikony blokady na mieszanej zawartości. Ten błąd naprawiono przez poprawienie logiki wyświetlania adresów URL.
CVE-2017-7153: Jerry Decime
Wpis dodano 11 stycznia 2018 r.
WebKit
Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13.2
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-7156: Yuan Deng z Ant-financial Light-Year Security Lab
CVE-2017-7157: anonimowy badacz
CVE-2017-13856: Jeonghoon Shin
CVE-2017-13870: Tencent Keen Security Lab (@keen_lab) w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2017-7160: Richard Zhu (fluorescence) w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2017-13866: Tencent Keen Security Lab (@keen_lab) w ramach programu Zero Day Initiative firmy Trend Micro
Wpis uaktualniono 10 stycznia 2018 r.
Inspektor www WebKit
Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13.2
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: w Inspektorze www występował błąd powodujący atak typu command injection. Ten problem rozwiązano przez poprawienie procedury pomijania znaków specjalnych.
CVE-2017-7161: Mitin Svyat
Wpis dodano 10 stycznia 2018 r.
Dodatkowe podziękowania
WebKit
Dziękujemy za pomoc Yiğit Can YILMAZ (@yilmazcanyigit) i badaczowi Abhinash Jain (@abhinashjain).
Wpis dodano 14 lutego 2018 r., uaktualniono 9 kwietnia 2018 r.