Сведения о проблемах системы безопасности, устраняемых Safari 10.0.2

В настоящем документе описываются проблемы системы безопасности, устраняемые Safari 10.0.2.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple. Зашифровать информацию, передаваемую в Apple, можно с помощью PGP-ключа безопасности продуктов Apple.

В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.

Safari 10.0.2

JavaScriptCore

Применимо к ОС OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12.2

Воздействие. Сценарий, выполняемый в изолированной среде JavaScript, может получить доступ к состоянию за пределами этой изолированной среды.

Описание. При обработке JavaScript возникала проблема проверки. Эта проблема устранена путем улучшенной проверки.

CVE-2016-4695: Марк C. Миллер (Mark S. Miller) из Google

Safari Reader

Применимо к ОС OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12.2

Воздействие. Включение функции Safari Reader на вредоносной веб-странице может приводить к выполнению универсальных межсайтовых сценариев.

Описание. Ряд проблем проверки устранен путем улучшенной очистки ввода.

CVE-2016-7650: Эрлинг Эллингсен (Erling Ellingsen)

WebKit

Применимо к ОС OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12.2

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Ряд проблем повреждения памяти устранен путем улучшенной обработки памяти.

CVE-2016-4692: Apple

CVE-2016-7635: Apple

CVE-2016-7652: Apple

WebKit

Применимо к ОС OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12.2

Воздействие. Обработка вредоносного веб-содержимого может приводить к раскрытию памяти процессов.

Описание. Проблема повреждения памяти устранена путем улучшенного управления состоянием.

CVE-2016-7656: Keen Lab в сотрудничестве с компанией Trend Micro по программе Zero Day Initiative

WebKit

Применимо к ОС OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12.2

Воздействие. Обработка вредоносного веб-содержимого может приводить к раскрытию памяти процессов.

Описание. Проблема повреждения памяти устранена путем улучшенной проверки ввода.

CVE-2016-4743: Алан Каттер (Alan Cutter)

WebKit

Применимо к ОС OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12.2

Воздействие. Обработка вредоносного веб-содержимого может привести к раскрытию информации пользователя.

Описание. Проблема проверки устранена путем улучшенного управления состояниями.

CVE-2016-7586: Борис Збарски (Boris Zbarsky)

WebKit

Применимо к ОС OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12.2

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Ряд проблем повреждения памяти устранен путем улучшенного управления состоянием.

CVE-2016-7587: Адам Кляйн (Adam Klein)

CVE-2016-7610: Чжэн Хуань (Zheng Huang) из Baidu Security Lab в сотрудничестве с компанией Trend Micro по программе Zero Day Initiative

CVE-2016-7611: анонимный исследователь, сотрудничающий с Trend Micro в рамках программы Zero Day Initiative

CVE-2016-7639: Тунбо Ло (Tongbo Luo) из компании Palo Alto Networks

CVE-2016-7640: Кай Кан (Kai Kang) из отдела Xuanwu Lab компании Tencent (tencent.com)

CVE-2016-7641: Кай Кан (Kai Kang) из отдела Xuanwu Lab компании Tencent (tencent.com)

CVE-2016-7642: Тунбо Ло (Tongbo Luo) из компании Palo Alto Networks

CVE-2016-7645: Кай Кан (Kai Kang) из отдела Xuanwu Lab компании Tencent (tencent.com)

CVE-2016-7646: Кай Кан (Kai Kang) из отдела Xuanwu Lab компании Tencent (tencent.com)

CVE-2016-7648: Кай Кан (Kai Kang) из отдела Xuanwu Lab компании Tencent (tencent.com)

CVE-2016-7649: Кай Кан (Kai Kang) из отдела Xuanwu Lab компании Tencent (tencent.com)

CVE-2016-7654: Keen Lab в сотрудничестве с компанией Trend Micro по программе Zero Day Initiative

WebKit

Применимо к ОС OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12.2

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема повреждения памяти устранена путем улучшенного управления состоянием.

CVE-2016-7589: Apple

WebKit

Применимо к ОС OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12.2

Воздействие. Посещение вредоносного веб-сайта может подвергнуть риску пользовательские данные.

Описание. В способе обработки запросов JavaScript пользователя существовала проблема. Эта проблема устранена путем усовершенствования управления состоянием.

CVE-2016-7592: xisigr из отдела Xuanwu Lab компании Tencent (www.tencent.com)

WebKit

Применимо к ОС OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12.2

Воздействие. Обработка вредоносного веб-содержимого может приводить к раскрытию памяти процессов.

Описание. Проблема неинициализированного доступа к памяти устранена путем улучшения инициализации памяти.

CVE-2016-7598: Сэмуэл Гросс (Samuel Groß)

WebKit

Применимо к ОС OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12.2

Воздействие. Обработка вредоносного веб-содержимого может привести к раскрытию информации пользователя.

Описание. Возникала проблема при обработке перенаправлений HTTP. Проблема устранена путем улучшенной проверки перекрестных источников.

CVE-2016-7599: Мунеаки Нишимура (Muneaki Nishimura, nishimunea) из Recruit Technologies Co., Ltd.

WebKit

Применимо к ОС OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12.1

Воздействие. Посещение вредоносного веб-сайта может подвергнуть риску пользовательские данные.

Описание. Возникала проблема при обработке URL больших BLOB-объектов. Проблема устранена путем усовершенствования обработки URL-адресов.

CVE-2016-7623: xisigr из отдела Xuanwu Lab компании Tencent (www.tencent.com)

WebKit

Применимо к ОС OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12.2

Воздействие. Посещение вредоносной веб-страницы может привести к неожиданному завершению работы программы или выполнению произвольного кода.

Описание. Проблема повреждения памяти устранена путем улучшенного управления состоянием.

CVE-2016-7632: Чонхун Шин (Jeonghoon Shin)