Despre conținutul de securitate din Safari 10
Acest document descrie conținutul de securitate din Safari 10.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Pentru informații suplimentare despre securitate, consultă pagina Apple privind securitatea produselor. Poți să criptezi mesajele prin care comunici cu Apple folosind cheia PGP pentru securitatea produselor Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Safari 10
Cititor Safari
Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12
Impact: activarea caracteristicii Cititor Safari într-o pagină web creată cu rea intenție poate cauza scripting trans-site universal
Descriere: au fost rezolvate mai multe probleme de validare prin îmbunătățirea igienizării intrării.
CVE-2016-4618: Erling Ellingsen
Safari Tabs
Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12
Impact: accesarea unui site web rău intenționat poate cauza falsificarea barei de adrese
Descriere: a existat o problemă de gestionare a stării la tratarea sesiunilor din file. Această problemă a fost rezolvată prin gestionarea stării sesiunii.
CVE-2016-4751: Daniel Chatfield de la Monzo Bank
WebKit
Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a existat o problemă de analizare la tratarea prototipurilor de erori. Această problemă a fost rezolvată prin îmbunătățirea validării.
CVE-2016-4728: Daniel Divricean
WebKit
Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12
Impact: accesarea unui site web rău intenționat poate cauza scurgeri de date sensibile
Descriere: a existat o problemă de permisiune la tratarea variabilei de localizare. Această problemă a fost rezolvată prin verificări suplimentare ale dreptului de proprietate.
CVE-2016-4758: Masato Kinugawa (Cure53)
WebKit
Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: au fost rezolvate mai multe probleme de alterare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2016-4611: Apple
CVE-2016-4729: Apple
CVE-2016-4730: Apple
CVE-2016-4731: Apple
CVE-2016-4734: natashenka (Google Project Zero)
CVE-2016-4735: André Bargull
CVE-2016-4737: Apple
CVE-2016-4759: Tongbo Luo (Palo Alto Networks)
CVE-2016-4762: Zheng Huang (Baidu Security Lab)
CVE-2016-4766: Apple
CVE-2016-4767: Apple
CVE-2016-4768: anonim în colaborare cu Trend Micro Zero Day Initiative
CVE-2016-4769: Tongbo Luo (Palo Alto Networks)
WebKit
Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12
Impact: un site web rău intenționat poate accesa servicii non-HTTP
Descriere: suportul Safari pentru HTTP/0.9 a permis exploatarea trans-protocol a serviciilor non-HTTP utilizându-se relegarea DNS. Problema a fost rezolvată prin restricționarea răspunsurilor HTTP/0.9 la porturile implicite și anularea încărcărilor de resurse dacă documentul era încărcat cu altă versiune de protocol HTTP.
CVE-2016-4760: Jordan Milne
WebKit
Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: au fost rezolvate mai multe probleme de alterare a memoriei prin îmbunătățirea gestionării stării.
CVE-2016-4733: natashenka (Google Project Zero)
CVE-2016-4765: Apple
WebKit
Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12
Impact: un atacator dintr-o poziție privilegiată în rețea poate intercepta și modifica traficul de rețea la aplicații care utilizează WKWebView cu HTTPS
Descriere: a existat o problemă de validare a certificatelor la tratarea WKWebView. Această problemă a fost rezolvată prin îmbunătățirea validării.
CVE-2016-4763: un cercetător anonim
WebKit
Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: au fost rezolvate mai multe probleme de alterare a memoriei prin îmbunătățirea gestionării stării.
CVE-2016-4764: Apple
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.