Проблемы системы безопасности, устраняемые Safari 10

В этом документе описываются проблемы системы безопасности, устраняемые Safari 10.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов Apple не раскрывает, не обсуждает и не подтверждает наличие проблем безопасности, пока не будет завершено расследование и не станут доступны исправления или новые выпуски. Недавние выпуски перечислены на странице Обновления системы безопасности Apple.

Дополнительные сведения о безопасности см. на странице Безопасность продуктов Apple. Можно шифровать обмен данными с Apple с помощью PGP-ключа безопасности продуктов Apple.

В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.

Safari 10

Дата выпуска: 20 сентября 2016 г.

Safari Reader

Доступно для: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12

Воздействие. Включение функции Safari Reader на вредоносной веб-странице может привести к выполнению универсальных межсайтовых сценариев

Описание. Несколько проблем с проверкой устранены посредством улучшенной очистки ввода.

CVE-2016-4618: Эрлинг Эллингсен (Erling Ellingsen)

Запись обновлена 23 сентября 2016 г.

Вкладки Safari

Доступно для: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12

Воздействие. Посещение вредоносного веб-сайта может привести к подмене адресной строки.

Описание. При обработке сеансов вкладок возникала проблема управления состоянием сеансов вкладок. Эта проблема устранена путем управления состоянием сеансов.

CVE-2016-4751: Дэниел Чэтфилд (Daniel Chatfield) из Monzo Bank

WebKit

Доступно для: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12

Воздействие. Обработка вредоносного веб-содержимого может привести к выполнению произвольного кода

Описание. При обработке прототипов ошибок возникала проблема разбора. Проблема устранена путем улучшенной проверки.

CVE-2016-4728: Дэниел Дивричиан (Daniel Divricean)

WebKit

Доступно для: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12

Воздействие. Посещение вредоносной веб-страницы могло привести к утечке важных данных.

Описание. При обработке переменной местоположения возникала проблема с разрешениями. Проблема решена введением дополнительных проверок владельца.

CVE-2016-4758: Масато Кинугава (Masato Kinugawa) из Cure53

WebKit

Доступно для: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12

Воздействие. Обработка вредоносного веб-содержимого может привести к выполнению произвольного кода

Описание. Ряд ошибок, вызывавших повреждение памяти, устранен путем улучшения процедур работы с памятью.

CVE-2016-4611: Apple

CVE-2016-4729: Apple

CVE-2016-4730: Apple

CVE-2016-4731: Apple

CVE-2016-4734: Натали Сильванович (Natalie Silvanovich) из Google Project Zero

CVE-2016-4735: Андрэ Баргулл (André Bargull)

CVE-2016-4737: Apple

CVE-2016-4759: Тонгбо Луо (Tongbo Luo) из Palo Alto Networks

CVE-2016-4762: Жен Хуан (Zheng Huang) из Baidu Security Lab

CVE-2016-4766: Apple

CVE-2016-4767: Apple

CVE-2016-4768: анонимный исследователь, сотрудничающий с Trend Micro в рамках программы Zero Day Initiative

CVE-2016-4769: Тонгбо Луо (Tongbo Luo) из Palo Alto Networks

WebKit

Доступно для: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12

Воздействие. Вредоносный веб-сайт может получить доступ к службам, отличным от HTTP

Описание. Поддержка HTTP/0.9 в Safari допускала возможность эксплуатации межпротокольных сценариев для служб, отличных от HTTP, с использованием перепривязки DNS. Проблема решена путем использования только портов по умолчанию для ответов HTTP/0.9 и отмены загрузок ресурса, если документ был загружен с использованием другой версии протокола HTTP.

CVE-2016-4760: Джордан Милн (Jordan Milne)

WebKit

Доступно для: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12

Воздействие. Обработка вредоносного веб-содержимого может привести к выполнению произвольного кода

Описание. Ряд проблем повреждения памяти устранен путем улучшенного управления состоянием.

CVE-2016-4733: Натали Сильванович (Natalie Silvanovich) из Google Project Zero

CVE-2016-4765: Apple

WebKit

Доступно для: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12

Воздействие. Злоумышленник в привилегированным положением в сети может перехватывать и изменять сетевой трафик в приложения с использованием WKWebView с HTTPS

Описание. Существовала ошибка проверки цепочки сертификатов при обработке WKWebView. Проблема устранена путем улучшенной проверки.

CVE-2016-4763: анонимный исследователь

WebKit

Доступно для: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12

Воздействие. Обработка вредоносного веб-содержимого может привести к выполнению произвольного кода

Описание. Ряд проблем повреждения памяти устранен путем улучшенного управления состоянием.

CVE-2016-4764: компания Apple

Запись добавлена 3 ноября 2016 г.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: