Obsah zabezpečenia v prehliadači Safari 10.1

V tomto dokumente sa popisuje obsah zabezpečenia v prehliadači Safari 10.1.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple. Komunikáciu so spoločnosťou Apple môžete zašifrovať pomocou kľúča PGP zabezpečenia produktov Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Safari 10.1

Vydané 27. marca 2017

CoreGraphics

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.

CVE-2017-2444: Mei Wang z tímu 360 GearTeam

JavaScriptCore

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2017-2491: Apple

Dátum pridania záznamu: 2. mája 2017

JavaScriptCore

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webovej stránky so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)

Popis: Dochádzalo k problému s prototypom, ktorý bol vyriešený vylepšením logiky.

CVE-2017-2492: lokihardt z tímu Google Project Zero

Dátum aktualizovania záznamu: 24. apríla 2017

Safari

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k sfalšovaniu lišty s adresou

Popis: Dochádzalo k problému so správou stavu, ktorý bol vyriešený zakázaním textového vstupu až do načítania cieľovej stránky.

CVE-2017-2376: Anonymný výskumník, Chris Hlady zo spoločnosti Google Inc., Yuyang Zhou z tímu Security Platform Department (security.tencent.com) spoločnosti Tencent, Muneaki Nishimura (nishimunea) zo spoločnosti Recruit Technologies Co., Ltd., Michal Zalewski zo spoločnosti Google Inc., anonymný výskumník

Safari

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k zobrazeniu autentifikačných kariet na ľubovoľných webových stránkach

Popis: Pri spracovávaní autentifikácie HTTP dochádzalo k problému s falšovaním a odmietnutím služby. Tento problém bol vyriešený nastavením autentifikačných kariet HTTP na nemodálne.

CVE-2017-2389: ShenYeYinJiu z tímu Tencent Security Response Center, TSRC

Safari

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Návšteva webovej stránky so škodlivým kódom kliknutím na odkaz môže viesť k sfalšovaniu používateľského rozhrania

Popis: Pri spracovávaní výziev služby FaceTime dochádzalo k problému s falšovaním. Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2017-2453: xisigr z tímu Xuanwu Lab spoločnosti Tencent (tencent.com)

Automatické vypĺňanie prihlasovacích údajov v Safari

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Lokálny používateľ môže mať prístup k zamknutým položkám kľúčenky

Popis: Dochádzalo k problému so spracovaním kľúčenky, ktorý bol vyriešený vylepšením správy položiek kľúčenky.

CVE-2017-2385: Simon Woodside zo spoločnosti MedStack

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Potiahnutie odkazu so škodlivým kódom môže viesť k sfalšovaniu záložky alebo spusteniu ľubovoľného kódu

Popis: Pri vytváraní záložiek dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2017-2378: xisigr z tímu Xuanwu Lab spoločnosti Tencent (tencent.com)

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neoprávnenému získaniu dát s rôznym pôvodom

Popis: Dochádzalo k problému súvisiacemu s prístupom k prototypu, ktorý bol vyriešený vylepšením spracovania výnimiek.

CVE-2017-2386: André Bargull

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.

CVE-2017-2394: Apple

CVE-2017-2396: Apple

CVE-2016-9642: Gustavo Grieco

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2017-2395: Apple

CVE-2017-2454: Ivan Fratric z tímu Google Project Zero, Zheng Huang z tímu Baidu Security Lab v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro 

CVE-2017-2455: Ivan Fratric z tímu Google Project Zero

CVE-2017-2459: Ivan Fratric z tímu Google Project Zero

CVE-2017-2460: Ivan Fratric z tímu Google Project Zero

CVE-2017-2464: Jeonghoon Shin, natashenka z tímu Google Project Zero

CVE-2017-2465: Zheng Huang a Wei Yuan z tímu Security Lab spoločnosti Baidu

CVE-2017-2466: Ivan Fratric z tímu Google Project Zero

CVE-2017-2468: lokihardt z tímu Google Project Zero

CVE-2017-2469: lokihardt z tímu Google Project Zero

CVE-2017-2470: lokihardt z tímu Google Project Zero

CVE-2017-2476: Ivan Fratric z tímu Google Project Zero

CVE-2017-2481: 0011 v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Dátum aktualizovania záznamu: 20. júna 2017

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-2415: Kai Kang z tímu Xuanwu Lab spoločnosti Tencent (tencent.com)

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k tomu, že sa neočakávane prestanú vynucovať zásady CSP (Content Security Policy)

Popis: V zásadách CSP (Content Security Policy) dochádzalo k problému s prístupom.  Tento problém bol vyriešený vylepšením obmedzení prístupu.

CVE-2017-2419: Nicolai Grødum zo spoločnosti Cisco Systems

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k vysokej spotrebe pamäte

Popis: Dochádzalo k problému s nekontrolovanou spotrebou zdrojov, ktorý bol vyriešený vylepšením spracovania regulárnych výrazov.

CVE-2016-9643: Gustavo Grieco

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Pri spracovávaní shaderov OpenGL dochádzalo k problému s únikom informácií. Tento problém bol vyriešený vylepšením správy pamäte.

CVE-2017-2424: Paul Thomson (použitím nástroja GLFuzz) zo skupiny Multicore Programming Group, Kráľovská univerzita v Londýne

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2017-2433: Apple

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neoprávnenému získaniu dát s rôznym pôvodom

Popis: Pri spracovávaní načítavania stránok dochádzalo k viacerým problémom s overovaním. Tieto problémy boli vyriešené vylepšením logiky.

CVE-2017-2364: lokihardt z tímu Google Project Zero

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Webová stránka so škodlivým kódom môže spôsobiť neoprávnené získanie dát s rôznym pôvodom

Popis: Pri spracovávaní načítania stránok dochádzalo k problému s overovaním. Tieto problémy boli vyriešené vylepšením logiky.

CVE-2017-2367: lokihardt z tímu Google Project Zero

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)

Popis: Pri spracovávaní objektov rámcov dochádzalo k problému s logikou. Tento problém bol vyriešený vylepšením správy stavu.

CVE-2017-2445: lokihardt z tímu Google Project Zero

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Pri spracovávaní funkcií striktného režimu dochádzalo k problému s logikou. Tento problém bol vyriešený vylepšením správy stavu.

CVE-2017-2446: natashenka z tímu Google Project Zero

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k úniku informácií používateľa

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-2447: natashenka z tímu Google Project Zero

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2017-2463: Kai Kang (4B5F5F4B) z tímu Xuanwu Lab spoločnosti Tencent (tencent.com) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Dátum pridania záznamu: 28. marca 2017

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2017-2471: Ivan Fratric z tímu Google Project Zero

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)

Popis: Pri spracovávaní rámcov dochádzalo k problému s logikou. Tento problém bol vyriešený vylepšením správy stavu.

CVE-2017-2475: lokihardt z tímu Google Project Zero

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neoprávnenému získaniu dát s rôznym pôvodom

Popis: Pri spracovávaní prvkov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania.

CVE-2017-2479: lokihardt z tímu Google Project Zero

Dátum pridania záznamu: 28. marca 2017

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neoprávnenému získaniu dát s rôznym pôvodom

Popis: Pri spracovávaní prvkov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania.

CVE-2017-2480: lokihardt z tímu Google Project Zero

CVE-2017-2493: lokihardt z tímu Google Project Zero

Dátum aktualizovania záznamu: 24. apríla 2017

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k sfalšovaniu lišty s adresou

Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2017-2486: Anonymný výskumník

Dátum pridania záznamu: 30. marca 2017

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Apka môže byť schopná spustiť ľubovoľný kód

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-2392: Max Bazaliy zo spoločnosti Lookout

Dátum pridania záznamu: 30. marca 2017

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2017-2457: lokihardt z tímu Google Project Zero

Dátum pridania záznamu: 30. marca 2017

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2017-7071: Kai Kang (4B5F5F4B) z tímu Xuanwu Lab spoločnosti Tencent (tencent.com) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro 

Dátum pridania záznamu: 23. augusta 2017

JavaScriptové väzby vo WebKite

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neoprávnenému získaniu dát s rôznym pôvodom

Popis: Pri spracovávaní načítavania stránok dochádzalo k viacerým problémom s overovaním. Tieto problémy boli vyriešené vylepšením logiky.

CVE-2017-2442: lokihardt z tímu Google Project Zero

WebKit Web Inspector

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Zatvorenie okna v okamihu, keď je pozastavené v ladiacom programe, môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2017-2377: Vicki Pfau

WebKit Web Inspector

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2017-2405: Apple

Ďalšie poďakovanie

Safari

Poďakovanie za pomoc si zaslúži Flyin9 (ZhenHui Lee).

Webkit

Poďakovanie za pomoc si zaslúži Yosuke HASEGAWA zo spoločnosti Secure Sky Technology Inc.

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: