Проблемы системы безопасности, устраняемые Safari 10
В этом документе описываются проблемы системы безопасности, устраняемые Safari 10.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.
Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple. Зашифровать информацию, передаваемую в Apple, можно с помощью PGP-ключа безопасности продуктов Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Safari 10
Safari Reader
Доступно для: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12
Воздействие. Включение функции Safari Reader на вредоносной веб-странице может приводить к выполнению универсальных межсайтовых сценариев.
Описание. Ряд проблем проверки устранен путем улучшенной очистки ввода.
CVE-2016-4618: Эрлинг Эллингсен (Erling Ellingsen)
Вкладки Safari
Доступно для: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12
Воздействие. Посещение вредоносного веб-сайта может приводить к подмене адресной строки.
Описание. При обработке сеансов вкладок возникала проблема управления состоянием сеансов вкладок. Эта проблема устранена путем управления состоянием сеансов.
CVE-2016-4751: Дэниел Чэтфилд (Daniel Chatfield) из Monzo Bank
WebKit
Доступно для: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. При обработке прототипов ошибок возникала проблема разбора. Проблема устранена путем улучшенной проверки.
CVE-2016-4728: Дэниел Дивричиан (Daniel Divricean)
WebKit
Доступно для: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12
Воздействие. Посещение вредоносной веб-страницы могло привести к утечке важных данных.
Описание. При обработке переменной геопозиции возникала проблема с разрешениями. Проблема решена введением дополнительных проверок владельца.
CVE-2016-4758: Масато Кинугава (Masato Kinugawa) из компании Cure53
WebKit
Доступно для: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Ряд проблем повреждения памяти устранен путем улучшенной обработки обращений к памяти.
CVE-2016-4611: Apple
CVE-2016-4729: компания Apple
CVE-2016-4730: Apple
CVE-2016-4731: компания Apple
CVE-2016-4734: пользователь natashenka из подразделения Google Project Zero
CVE-2016-4735: Андрэ Баргулл (André Bargull)
CVE-2016-4737: Apple
CVE-2016-4759: Тонгбо Луо (Tongbo Luo) из Palo Alto Networks
CVE-2016-4762: Чжэн Хуан (Zheng Huang) из Baidu Security Lab
CVE-2016-4766: Apple
CVE-2016-4767: Apple
CVE-2016-4768: анонимный исследователь, сотрудничающий с Trend Micro в рамках программы Zero Day Initiative
CVE-2016-4769: Тунбо Ло (Tongbo Luo) из компании Palo Alto Networks
WebKit
Доступно для: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12
Воздействие. Вредоносный веб-сайт может получить доступ к службам, не связанным с HTTP.
Описание. Поддержка браузером Safari версии протокола HTTP/0.9 допускала использование межпротокольных уязвимостей служб, не связанных с HTTP, посредством повторной привязки DNS. Проблема была устранена путем разрешения передачи ответов HTTP/0.9 только через порты, используемые по умолчанию, и отмены загрузок ресурсов в случае, если документ загружался с использованием другой версии протокола HTTP.
CVE-2016-4760: Джордан Милне (Jordan Milne)
WebKit
Доступно для: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Ряд проблем повреждения памяти устранен путем улучшенного управления состоянием.
CVE-2016-4733: пользователь natashenka из подразделения Google Project Zero
CVE-2016-4765: Apple
WebKit
Доступно для: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12
Воздействие. Злоумышленник, имеющий привилегированное положение в сети, может перехватывать и изменять сетевой трафик, передаваемый программам с помощью WKWebView с использованием HTTPS.
Описание. При обработке WKWebView существовала проблема проверки сертификата. Эта проблема устранена путем улучшенной проверки.
CVE-2016-4763: анонимный исследователь
WebKit
Доступно для: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Ряд проблем повреждения памяти устранен путем улучшенного управления состоянием.
CVE-2016-4764: Apple
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.