Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple. Komunikáciu so spoločnosťou Apple môžete zašifrovať pomocou kľúča PGP zabezpečenia produktov Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Safari 10.1
Vydané 27. marca 2017
CoreGraphics
K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.
CVE-2017-2444: Mei Wang z tímu 360 GearTeam
JavaScriptCore
K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2017-2491: Apple
Dátum pridania záznamu: 2. mája 2017
JavaScriptCore
K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4
Dopad: Spracovanie webovej stránky so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)
Popis: Dochádzalo k problému s prototypom, ktorý bol vyriešený vylepšením logiky.
CVE-2017-2492: lokihardt z tímu Google Project Zero
Dátum aktualizovania záznamu: 24. apríla 2017
Safari
K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k sfalšovaniu lišty s adresou
Popis: Dochádzalo k problému so správou stavu, ktorý bol vyriešený zakázaním textového vstupu až do načítania cieľovej stránky.
CVE-2017-2376: Anonymný výskumník, Chris Hlady zo spoločnosti Google Inc., Yuyang Zhou z tímu Security Platform Department (security.tencent.com) spoločnosti Tencent, Muneaki Nishimura (nishimunea) zo spoločnosti Recruit Technologies Co., Ltd., Michal Zalewski zo spoločnosti Google Inc., anonymný výskumník
Safari
K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k zobrazeniu autentifikačných kariet na ľubovoľných webových stránkach
Popis: Pri spracovávaní autentifikácie HTTP dochádzalo k problému s falšovaním a odmietnutím služby. Tento problém bol vyriešený nastavením autentifikačných kariet HTTP na nemodálne.
CVE-2017-2389: ShenYeYinJiu z tímu Tencent Security Response Center, TSRC
Safari
K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4
Dopad: Návšteva webovej stránky so škodlivým kódom kliknutím na odkaz môže viesť k sfalšovaniu používateľského rozhrania
Popis: Pri spracovávaní výziev služby FaceTime dochádzalo k problému s falšovaním. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2017-2453: xisigr z tímu Xuanwu Lab spoločnosti Tencent (tencent.com)
Automatické vypĺňanie prihlasovacích údajov v Safari
K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4
Dopad: Lokálny používateľ môže mať prístup k zamknutým položkám kľúčenky
Popis: Dochádzalo k problému so spracovaním kľúčenky, ktorý bol vyriešený vylepšením správy položiek kľúčenky.
CVE-2017-2385: Simon Woodside zo spoločnosti MedStack
WebKit
K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4
Dopad: Potiahnutie odkazu so škodlivým kódom môže viesť k sfalšovaniu záložky alebo spusteniu ľubovoľného kódu
Popis: Pri vytváraní záložiek dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2017-2378: xisigr z tímu Xuanwu Lab spoločnosti Tencent (tencent.com)
WebKit
K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neoprávnenému získaniu dát s rôznym pôvodom
Popis: Dochádzalo k problému súvisiacemu s prístupom k prototypu, ktorý bol vyriešený vylepšením spracovania výnimiek.
CVE-2017-2386: André Bargull
WebKit
K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.
CVE-2017-2394: Apple
CVE-2017-2396: Apple
CVE-2016-9642: Gustavo Grieco
WebKit
K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2017-2395: Apple
CVE-2017-2454: Ivan Fratric z tímu Google Project Zero, Zheng Huang z tímu Baidu Security Lab v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2017-2455: Ivan Fratric z tímu Google Project Zero
CVE-2017-2459: Ivan Fratric z tímu Google Project Zero
CVE-2017-2460: Ivan Fratric z tímu Google Project Zero
CVE-2017-2464: Jeonghoon Shin, natashenka z tímu Google Project Zero
CVE-2017-2465: Zheng Huang a Wei Yuan z tímu Security Lab spoločnosti Baidu
CVE-2017-2466: Ivan Fratric z tímu Google Project Zero
CVE-2017-2468: lokihardt z tímu Google Project Zero
CVE-2017-2469: lokihardt z tímu Google Project Zero
CVE-2017-2470: lokihardt z tímu Google Project Zero
CVE-2017-2476: Ivan Fratric z tímu Google Project Zero
CVE-2017-2481: 0011 v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Dátum aktualizovania záznamu: 20. júna 2017
WebKit
K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-2415: Kai Kang z tímu Xuanwu Lab spoločnosti Tencent (tencent.com)
WebKit
K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k tomu, že sa neočakávane prestanú vynucovať zásady CSP (Content Security Policy)
Popis: V zásadách CSP (Content Security Policy) dochádzalo k problému s prístupom. Tento problém bol vyriešený vylepšením obmedzení prístupu.
CVE-2017-2419: Nicolai Grødum zo spoločnosti Cisco Systems
WebKit
K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k vysokej spotrebe pamäte
Popis: Dochádzalo k problému s nekontrolovanou spotrebou zdrojov, ktorý bol vyriešený vylepšením spracovania regulárnych výrazov.
CVE-2016-9643: Gustavo Grieco
WebKit
K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4
Dopad: Spracovanie webového obsahu so škodlivým kódom môže mať za následok odhalenie operačnej pamäte
Popis: Pri spracovávaní shaderov OpenGL dochádzalo k problému s únikom informácií. Tento problém bol vyriešený vylepšením správy pamäte.
CVE-2017-2424: Paul Thomson (použitím nástroja GLFuzz) zo skupiny Multicore Programming Group, Kráľovská univerzita v Londýne
WebKit
K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2017-2433: Apple
WebKit
K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neoprávnenému získaniu dát s rôznym pôvodom
Popis: Pri spracovávaní načítavania stránok dochádzalo k viacerým problémom s overovaním. Tieto problémy boli vyriešené vylepšením logiky.
CVE-2017-2364: lokihardt z tímu Google Project Zero
WebKit
K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4
Dopad: Webová stránka so škodlivým kódom môže spôsobiť neoprávnené získanie dát s rôznym pôvodom
Popis: Pri spracovávaní načítania stránok dochádzalo k problému s overovaním. Tieto problémy boli vyriešené vylepšením logiky.
CVE-2017-2367: lokihardt z tímu Google Project Zero
WebKit
K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)
Popis: Pri spracovávaní objektov rámcov dochádzalo k problému s logikou. Tento problém bol vyriešený vylepšením správy stavu.
CVE-2017-2445: lokihardt z tímu Google Project Zero
WebKit
K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Pri spracovávaní funkcií striktného režimu dochádzalo k problému s logikou. Tento problém bol vyriešený vylepšením správy stavu.
CVE-2017-2446: natashenka z tímu Google Project Zero
WebKit
K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k úniku informácií používateľa
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-2447: natashenka z tímu Google Project Zero
WebKit
K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2017-2463: Kai Kang (4B5F5F4B) z tímu Xuanwu Lab spoločnosti Tencent (tencent.com) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Dátum pridania záznamu: 28. marca 2017
WebKit
K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2017-2471: Ivan Fratric z tímu Google Project Zero
WebKit
K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)
Popis: Pri spracovávaní rámcov dochádzalo k problému s logikou. Tento problém bol vyriešený vylepšením správy stavu.
CVE-2017-2475: lokihardt z tímu Google Project Zero
WebKit
K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neoprávnenému získaniu dát s rôznym pôvodom
Popis: Pri spracovávaní prvkov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania.
CVE-2017-2479: lokihardt z tímu Google Project Zero
Dátum pridania záznamu: 28. marca 2017
WebKit
K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neoprávnenému získaniu dát s rôznym pôvodom
Popis: Pri spracovávaní prvkov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania.
CVE-2017-2480: lokihardt z tímu Google Project Zero
CVE-2017-2493: lokihardt z tímu Google Project Zero
Dátum aktualizovania záznamu: 24. apríla 2017
WebKit
K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k sfalšovaniu lišty s adresou
Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.
CVE-2017-2486: Anonymný výskumník
Dátum pridania záznamu: 30. marca 2017
WebKit
K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4
Dopad: Apka môže byť schopná spustiť ľubovoľný kód
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-2392: Max Bazaliy zo spoločnosti Lookout
Dátum pridania záznamu: 30. marca 2017
WebKit
K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2017-2457: lokihardt z tímu Google Project Zero
Dátum pridania záznamu: 30. marca 2017
WebKit
K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2017-7071: Kai Kang (4B5F5F4B) z tímu Xuanwu Lab spoločnosti Tencent (tencent.com) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Dátum pridania záznamu: 23. augusta 2017
JavaScriptové väzby vo WebKite
K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neoprávnenému získaniu dát s rôznym pôvodom
Popis: Pri spracovávaní načítavania stránok dochádzalo k viacerým problémom s overovaním. Tieto problémy boli vyriešené vylepšením logiky.
CVE-2017-2442: lokihardt z tímu Google Project Zero
WebKit Web Inspector
K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4
Dopad: Zatvorenie okna v okamihu, keď je pozastavené v ladiacom programe, môže viesť k neočakávanému ukončeniu apky
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2017-2377: Vicki Pfau
WebKit Web Inspector
K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2017-2405: Apple
Ďalšie poďakovanie
Safari
Poďakovanie za pomoc si zaslúži Flyin9 (ZhenHui Lee).
Webkit
Poďakovanie za pomoc si zaslúži Yosuke HASEGAWA zo spoločnosti Secure Sky Technology Inc.