Проблемы системы безопасности, устраняемые Safari 10

В этом документе описываются проблемы системы безопасности, устраняемые Safari 10.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple. Зашифровать информацию, передаваемую в Apple, можно с помощью PGP-ключа безопасности продуктов Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Safari 10

Дата выпуска: 20 сентября 2016 г.

Safari Reader

Доступно для: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12

Воздействие. Включение функции Safari Reader на вредоносной веб-странице может приводить к выполнению универсальных межсайтовых сценариев.

Описание. Ряд проблем проверки устранен путем улучшенной очистки ввода.

CVE-2016-4618: Эрлинг Эллингсен (Erling Ellingsen)

Запись обновлена 23 сентября 2016 г.

Вкладки Safari

Доступно для: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12

Воздействие. Посещение вредоносного веб-сайта может приводить к подмене адресной строки.

Описание. При обработке сеансов вкладок возникала проблема управления состоянием сеансов вкладок. Эта проблема устранена путем управления состоянием сеансов.

CVE-2016-4751: Дэниел Чэтфилд (Daniel Chatfield) из Monzo Bank

WebKit

Доступно для: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. При обработке прототипов ошибок возникала проблема разбора. Проблема устранена путем улучшенной проверки.

CVE-2016-4728: Дэниел Дивричиан (Daniel Divricean)

WebKit

Доступно для: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12

Воздействие. Посещение вредоносной веб-страницы могло привести к утечке важных данных.

Описание. При обработке переменной геопозиции возникала проблема с разрешениями. Проблема решена введением дополнительных проверок владельца.

CVE-2016-4758: Масато Кинугава (Masato Kinugawa) из компании Cure53

WebKit

Доступно для: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Ряд проблем повреждения памяти устранен путем улучшенной обработки обращений к памяти.

CVE-2016-4611: Apple

CVE-2016-4729: компания Apple

CVE-2016-4730: Apple

CVE-2016-4731: компания Apple

CVE-2016-4734: пользователь natashenka из подразделения Google Project Zero

CVE-2016-4735: Андрэ Баргулл (André Bargull)

CVE-2016-4737: Apple

CVE-2016-4759: Тонгбо Луо (Tongbo Luo) из Palo Alto Networks

CVE-2016-4762: Чжэн Хуан (Zheng Huang) из Baidu Security Lab

CVE-2016-4766: Apple

CVE-2016-4767: Apple

CVE-2016-4768: анонимный исследователь, сотрудничающий с Trend Micro в рамках программы Zero Day Initiative

CVE-2016-4769: Тунбо Ло (Tongbo Luo) из компании Palo Alto Networks

WebKit

Доступно для: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12

Воздействие. Вредоносный веб-сайт может получить доступ к службам, не связанным с HTTP.

Описание. Поддержка браузером Safari версии протокола HTTP/0.9 допускала использование межпротокольных уязвимостей служб, не связанных с HTTP, посредством повторной привязки DNS. Проблема была устранена путем разрешения передачи ответов HTTP/0.9 только через порты, используемые по умолчанию, и отмены загрузок ресурсов в случае, если документ загружался с использованием другой версии протокола HTTP.

CVE-2016-4760: Джордан Милне (Jordan Milne)

WebKit

Доступно для: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Ряд проблем повреждения памяти устранен путем улучшенного управления состоянием.

CVE-2016-4733: пользователь natashenka из подразделения Google Project Zero

CVE-2016-4765: Apple

WebKit

Доступно для: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12

Воздействие. Злоумышленник, имеющий привилегированное положение в сети, может перехватывать и изменять сетевой трафик, передаваемый программам с помощью WKWebView с использованием HTTPS.

Описание. При обработке WKWebView существовала проблема проверки сертификата. Эта проблема устранена путем улучшенной проверки.

CVE-2016-4763: анонимный исследователь

WebKit

Доступно для: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 и macOS Sierra 10.12

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Ряд проблем повреждения памяти устранен путем улучшенного управления состоянием.

CVE-2016-4764: Apple

Запись добавлена 3 ноября 2016 г.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: