Zawartość związana z zabezpieczeniami w przeglądarce Safari 11.0.2

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w przeglądarce Safari 11.0.2.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Więcej informacji na temat zabezpieczeń można znaleźć na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Safari 11.0.2

WebKit

Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13.2

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13885: 360 Security w ramach programu Zero Day Initiative firmy Trend Micro

WebKit

Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13.2

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7165: 360 Security w ramach programu Zero Day Initiative firmy Trend Micro

WebKit

Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13.2

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13884: 360 Security w ramach programu Zero Day Initiative firmy Trend Micro

WebKit

Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13.2

Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do spreparowania interfejsu użytkownika.

Opis: odpowiedzi przekierowania do strony błędu 401 Unauthorized mogą umożliwić złośliwej witrynie niepoprawne wyświetlanie ikony blokady na mieszanej zawartości. Ten błąd naprawiono przez poprawienie logiki wyświetlania adresów URL.

CVE-2017-7153: Jerry Decime

WebKit

Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13.2

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7156: Yuan Deng z Ant-financial Light-Year Security Lab

CVE-2017-7157: anonimowy badacz

CVE-2017-13856: Jeonghoon Shin

CVE-2017-13870: Tencent Keen Security Lab (@keen_lab) w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2017-7160: Richard Zhu (fluorescence) w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2017-13866: Tencent Keen Security Lab (@keen_lab) w ramach programu Zero Day Initiative firmy Trend Micro

Inspektor www WebKit

Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6 i macOS High Sierra 10.13.2

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: w Inspektorze www występował błąd powodujący atak typu command injection. Ten problem rozwiązano przez poprawienie procedury pomijania znaków specjalnych.

CVE-2017-7161: Mitin Svyat

Dodatkowe podziękowania

WebKit

Dziękujemy za pomoc Yiğit Can YILMAZ (@yilmazcanyigit) i badaczowi Abhinash Jain (@abhinashjain).