Despre conținutul de securitate din Safari 10.1

Acest document descrie conținutul de securitate din Safari 10.1.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.

Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple. Poți să criptezi mesajele prin care comunici cu Apple folosind cheia PGP pentru securitatea produselor Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.

Safari 10.1

CoreGraphics

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12.4

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea validării intrării.

CVE-2017-2444: Mei Wang (360 GearTeam)

JavaScriptCore

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12.4

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de „utilizare după eliberare” prin îmbunătățirea gestionării memoriei.

CVE-2017-2491: Apple

JavaScriptCore

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12.4

Impact: procesarea unei pagini web create cu rea intenție poate cauza scripting universal între site-uri

Descriere: a fost rezolvată o problemă legată de prototip prin îmbunătățirea logicii.

CVE-2017-2492: lokihardt (Google Project Zero)

Safari

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12.4

Impact: accesarea unui site web rău intenționat poate cauza falsificarea barei de adrese

Descriere: a fost rezolvată o problemă de gestionare a stării prin dezactivarea intrării de text până la încărcarea paginii de destinație.

CVE-2017-2376: un cercetător anonim, Chris Hlady de la Google Inc, Yuyang Zhou de la Tencent Security Platform Department (security.tencent.com), Muneaki Nishimura (nishimunea) de la Recruit Technologies Co., Ltd., Michal Zalewski de la Google Inc, un cercetător anonim

Safari

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12.4

Impact: procesarea unui conținut web creat cu rea intenție poate prezenta fișe de autentificare peste site-uri web arbitrare

Descriere: a existat o problemă de falsificare și refuzare a serviciului (DoS) în tratarea autentificării HTTP. Această problemă a fost rezolvată făcând fișele de autentificare HTTP nemodale.

CVE-2017-2389: ShenYeYinJiu (Tencent Security Response Center), TSRC

Safari

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12.4

Impact: accesarea unui site web rău intenționat prin efectuarea de clic pe un link poate cauza falsificarea interfeței cu utilizatorul

Descriere: a existat o problemă de falsificare la tratarea prompturilor FaceTime. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2017-2453: xisigr (Tencent's Xuanwu Lab) (tencent.com)

Auto-completare login în Safari

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12.4

Impact: un utilizator local poate reuși să acceseze elemente blocate din portchei

Descriere: a fost rezolvată o problemă de tratare a portcheiului prin gestionarea elementelor din portchei.

CVE-2017-2385: Simon Woodside de la MedStack

WebKit

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12.4

Impact: glisarea și fixarea unui link creat cu rea intenție poate cauza falsificarea semnului de carte sau executarea unui cod arbitrar

Descriere: a existat o problemă de validare în crearea semnelor de carte. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2017-2378: xisigr (Tencent's Xuanwu Lab) (tencent.com)

WebKit

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12.4

Impact: procesarea de conținut web creat cu rea intenție poate cauza exfiltrarea de date din mai multe surse

Descriere: a fost rezolvată o problemă de acces la prototip prin îmbunătățirea tratării excepțiilor.

CVE-2017-2386: André Bargull

WebKit

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12.4

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea validării intrării.

CVE-2017-2394: Apple

CVE-2017-2396: Apple

CVE-2016-9642: Gustavo Grieco

WebKit

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12.4

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: au fost rezolvate mai multe probleme de alterare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-2395: Apple

CVE-2017-2454: Ivan Fratric (Google Project Zero), Zheng Huang (Baidu Security Lab) în colaborare cu programul Zero Day Initiative al Trend Micro

CVE-2017-2455: Ivan Fratric (Google Project Zero)

CVE-2017-2459: Ivan Fratric (Google Project Zero)

CVE-2017-2460: Ivan Fratric (Google Project Zero)

CVE-2017-2464: Jeonghoon Shin, natashenka (Google Project Zero)

CVE-2017-2465: Zheng Huang și Wei Yuan (Baidu Security Lab)

CVE-2017-2466: Ivan Fratric (Google Project Zero)

CVE-2017-2468: lokihardt (Google Project Zero)

CVE-2017-2469: lokihardt (Google Project Zero)

CVE-2017-2470: lokihardt (Google Project Zero)

CVE-2017-2476: Ivan Fratric (Google Project Zero)

CVE-2017-2481: 0011 în colaborare cu Trend Micro Zero Day Initiative

WebKit

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12.4

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării memoriei.

CVE-2017-2415: Kai Kang (Tencent Xuanwu Lab) (tencent.com)

WebKit

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12.4

Impact: procesarea unui conținut web creat cu rea intenție poate cauza neaplicarea accidentală a politicii CSP (Content Security Policy)

Descriere: a existat o problemă de acces în politica CSP (Content Security Policy). Această problemă a fost rezolvată prin îmbunătățirea restricțiilor de accesare.

CVE-2017-2419: Nicolai Grødum (Cisco Systems)

WebKit

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12.4

Impact: procesarea unui conținut web creat cu rea intenție poate cauza un consum mare de memorie

Descriere: a fost rezolvată o problemă de consum necontrolat de resurse prin îmbunătățirea procesării regex.

CVE-2016-9643: Gustavo Grieco

WebKit

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12.4

Impact: procesarea conținutului unui site web creat cu rea intenție poate cauza divulgarea memoriei procesului

Descriere: a existat o problemă de divulgare de informații la procesarea shaderelor OpenGL. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.

CVE-2017-2424: Paul Thomson (utilizând instrumentul GLFuzz) (Multicore Programming Group, Imperial College London)

WebKit

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12.4

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării intrării.

CVE-2017-2433: Apple

WebKit

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12.4

Impact: procesarea de conținut web creat cu rea intenție poate cauza exfiltrarea de date din mai multe surse

Descriere: au existat mai multe probleme de validare la tratarea încărcării paginilor. Această problemă a fost rezolvată prin îmbunătățirea logicii.

CVE-2017-2364: lokihardt (Google Project Zero)

WebKit

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12.4

Impact: un site web rău intenționat poate exfiltra date cu origini încrucișate

Descriere: a existat o problemă de validare la tratarea încărcării paginilor. Această problemă a fost rezolvată prin îmbunătățirea logicii.

CVE-2017-2367: lokihardt (Google Project Zero)

WebKit

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12.4

Impact: procesarea unui conținut web creat cu rea intenție poate cauza crearea de scripturi universale între site-uri

Descriere: a existat o problemă logică la tratarea obiectelor de tipul cadru. Această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2017-2445: lokihardt (Google Project Zero)

WebKit

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12.4

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a existat o problemă logică la tratarea funcțiilor de mod strict. Această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2017-2446: natashenka (Google Project Zero)

WebKit

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12.4

Impact: accesarea unui site web rău intenționat putea compromite informațiile utilizatorului

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-2447: natashenka (Google Project Zero)

WebKit

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12.4

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: au fost rezolvate mai multe probleme de alterare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-2463: Kai Kang (4B5F5F4B) (Tencent Xuanwu Lab) (tencent.com) în colaborare cu Trend Micro Zero Day Initiative

WebKit

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12.4

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de „utilizare după eliberare” prin îmbunătățirea gestionării memoriei.

CVE-2017-2471: Ivan Fratric (Google Project Zero)

WebKit

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12.4

Impact: procesarea unui conținut web creat cu rea intenție poate cauza crearea de scripturi universale între site-uri

Descriere: a existat o problemă de logică la tratarea cadrelor. Această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2017-2475: lokihardt (Google Project Zero)

WebKit

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12.4

Impact: procesarea de conținut web creat cu rea intenție poate cauza exfiltrarea de date din mai multe surse

Descriere: a existat o problemă de validare la tratarea elementelor. Această problemă a fost rezolvată prin îmbunătățirea validării.

CVE-2017-2479: lokihardt (Google Project Zero)

WebKit

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12.4

Impact: procesarea de conținut web creat cu rea intenție poate cauza exfiltrarea de date din mai multe surse

Descriere: a existat o problemă de validare la tratarea elementelor. Această problemă a fost rezolvată prin îmbunătățirea validării.

CVE-2017-2480: lokihardt (Google Project Zero)

CVE-2017-2493: lokihardt (Google Project Zero)

WebKit

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12.4

Impact: accesarea unui site web rău intenționat poate cauza falsificarea barei de adrese

Descriere: a fost rezolvată o problemă la interfața cu utilizatorul prin îmbunătățirea gestionării stării.

CVE-2017-2486: un cercetător anonim

WebKit

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12.4

Impact: o aplicație poate executa un cod arbitrar

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-2392: Max Bazaliy de la Lookout

WebKit

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12.4

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: au fost rezolvate mai multe probleme de alterare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-2457: lokihardt (Google Project Zero)

WebKit

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12.4

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-7071: Kai Kang (4B5F5F4B) (Tencent Xuanwu Lab) (tencent.com) în colaborare cu Trend Micro Zero Day Initiative

Legături JavaScript WebKit

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12.4

Impact: procesarea de conținut web creat cu rea intenție poate cauza exfiltrarea de date din mai multe surse

Descriere: au existat mai multe probleme de validare la tratarea încărcării paginilor. Această problemă a fost rezolvată prin îmbunătățirea logicii.

CVE-2017-2442: lokihardt (Google Project Zero)

WebKit Web Inspector

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12.4

Impact: închiderea unei ferestre atunci când este în pauză în depanator poate provoca închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării intrării.

CVE-2017-2377: Vicki Pfau

WebKit Web Inspector

Disponibilitate pentru: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 și macOS Sierra 10.12.4

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării intrării.

CVE-2017-2405: Apple

Alte mențiuni

Safari

Dorim să-i mulțumim lui Flyin9 (ZhenHui Lee) pentru asistența acordată.

Webkit

Dorim să-i mulțumim lui Yosuke HASEGAWA (Secure Sky Technology Inc.) pentru asistența acordată.