Despre conținutul de securitate din Safari 10

Acest document descrie conținutul de securitate din Safari 10.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.

Pentru informații suplimentare despre securitate, consultă pagina Apple privind securitatea produselor. Poți să criptezi mesajele prin care comunici cu Apple folosind cheia PGP pentru securitatea produselor Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.

Safari 10

Publicare: 20 septembrie 2016

Cititor Safari

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12

Impact: activarea caracteristicii Cititor Safari într-o pagină web creată cu rea intenție poate cauza scripting trans-site universal

Descriere: au fost rezolvate mai multe probleme de validare prin îmbunătățirea igienizării intrării.

CVE-2016-4618: Erling Ellingsen

Intrare actualizată la 23 septembrie 2016

Safari Tabs

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12

Impact: accesarea unui site web rău intenționat poate cauza falsificarea barei de adrese

Descriere: a existat o problemă de gestionare a stării la tratarea sesiunilor din file. Această problemă a fost rezolvată prin gestionarea stării sesiunii.

CVE-2016-4751: Daniel Chatfield de la Monzo Bank

WebKit

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a existat o problemă de analizare la tratarea prototipurilor de erori. Această problemă a fost rezolvată prin îmbunătățirea validării.

CVE-2016-4728: Daniel Divricean

WebKit

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12

Impact: accesarea unui site web rău intenționat poate cauza scurgeri de date sensibile

Descriere: a existat o problemă de permisiune la tratarea variabilei de localizare. Această problemă a fost rezolvată prin verificări suplimentare ale dreptului de proprietate.

CVE-2016-4758: Masato Kinugawa (Cure53)

WebKit

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: au fost rezolvate mai multe probleme de alterare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2016-4611: Apple

CVE-2016-4729: Apple

CVE-2016-4730: Apple

CVE-2016-4731: Apple

CVE-2016-4734: natashenka (Google Project Zero)

CVE-2016-4735: André Bargull

CVE-2016-4737: Apple

CVE-2016-4759: Tongbo Luo (Palo Alto Networks)

CVE-2016-4762: Zheng Huang (Baidu Security Lab)

CVE-2016-4766: Apple

CVE-2016-4767: Apple

CVE-2016-4768: anonim în colaborare cu Trend Micro Zero Day Initiative

CVE-2016-4769: Tongbo Luo (Palo Alto Networks)

WebKit

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12

Impact: un site web rău intenționat poate accesa servicii non-HTTP

Descriere: suportul Safari pentru HTTP/0.9 a permis exploatarea trans-protocol a serviciilor non-HTTP utilizându-se relegarea DNS. Problema a fost rezolvată prin restricționarea răspunsurilor HTTP/0.9 la porturile implicite și anularea încărcărilor de resurse dacă documentul era încărcat cu altă versiune de protocol HTTP.

CVE-2016-4760: Jordan Milne

WebKit

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: au fost rezolvate mai multe probleme de alterare a memoriei prin îmbunătățirea gestionării stării.

CVE-2016-4733: natashenka (Google Project Zero)

CVE-2016-4765: Apple

WebKit

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12

Impact: un atacator dintr-o poziție privilegiată în rețea poate intercepta și modifica traficul de rețea la aplicații care utilizează WKWebView cu HTTPS

Descriere: a existat o problemă de validare a certificatelor la tratarea WKWebView. Această problemă a fost rezolvată prin îmbunătățirea validării.

CVE-2016-4763: un cercetător anonim

WebKit

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: au fost rezolvate mai multe probleme de alterare a memoriei prin îmbunătățirea gestionării stării.

CVE-2016-4764: Apple

Intrare adăugată pe 3 noiembrie 2016

Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.

Data publicării: