Om säkerhetsinnehållet i Safari 10.1

Detta dokument beskriver säkerhetsinnehållet i Safari 10.1.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-nyckel från Apple Product Security.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Safari 10.1

CoreGraphics

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Flera minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2444: Mei Wang på 360 GearTeam

JavaScriptCore

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2017-2491: Apple

JavaScriptCore

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av en skadlig webbsida kan leda till universell skriptkörning över flera sajter

Beskrivning: Ett prototypfel åtgärdades genom förbättrad logik.

CVE-2017-2492: lokihardt på Google Project Zero

Safari

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Besök på en skadlig webbplats kan leda till att adressfältet förfalskas

Beskrivning: Ett problem med tillståndshantering åtgärdades genom inaktivering av textinmatning tills målsidan var inläst.

CVE-2017-2376: En anonym forskare, Chris Hlady på Google Inc, Yuyang Zhou på Tencent Security Platform Department (security.tencent.com), Muneaki Nishimura (nishimunea) på Recruit Technologies Co., Ltd., Michal Zalewski på Google Inc, en anonym forskare

Safari

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av skadligt webbinnehåll kan visa autentiseringsark på skadliga webbplatser

Beskrivning: Ett problem med förfalskning och dos-angrepp (denial of service) förekom vid hantering av HTTP-autentisering. Problemet åtgärdades genom att HTTP-autentiseringsarken gjordes icke-modala.

CVE-2017-2389: ShenYeYinJiu på Tencent Security Response Center, TSRC

Safari

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Besök på en webbplats med skadligt innehåll via länkklick kan leda till att användargränssnittet förfalskas

Beskrivning: Ett problem med förfalskning förekom i hanteringen av FaceTime-uppmaningar. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2017-2453: xisigr på Tencents Xuanwu Lab (tencent.com)

Autofyll vid Safari-inloggning

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: En lokal användare kan komma åt låsta nyckelringsobjekt

Beskrivning: Ett problem med nyckelringshanteringen bemöttes med en förbättrad hantering av nyckelringsobjekt.

CVE-2017-2385: Simon Woodside på MedStack

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: När en skadlig länk dras och släpps kan det kan leda till förfalskning av bokmärke eller körning av opålitlig kod

Beskrivning: Det förekom ett valideringsproblem när bokmärken skapades. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2017-2378: xisigr på Tencents Xuanwu Lab (tencent.com)

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av skadligt webbinnehåll kan orsaka åtkomst till data från flera källor

Beskrivning: Ett problem med prototypåtkomst åtgärdades genom förbättrad undantagshantering.

CVE-2017-2386: André Bargull

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Flera minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2394: Apple

CVE-2017-2396: Apple

CVE-2016-9642: Gustavo Grieco

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2017-2395: Apple

CVE-2017-2454: Ivan Fratric på Google Project Zero, Zheng Huang på Baidu Security Lab i samarbete med Trend Micros Zero Day Initiative

CVE-2017-2455: Ivan Fratric på Google Project Zero

CVE-2017-2459: Ivan Fratric på Google Project Zero

CVE-2017-2460: Ivan Fratric på Google Project Zero

CVE-2017-2464: Jeonghoon Shin, natashenka på Google Project Zero

CVE-2017-2465: Zheng Huang och Wei Yuan på Baidu Security Lab

CVE-2017-2466: Ivan Fratric på Google Project Zero

CVE-2017-2468: lokihardt på Google Project Zero

CVE-2017-2469: lokihardt på Google Project Zero

CVE-2017-2470: lokihardt på Google Project Zero

CVE-2017-2476: Ivan Fratric på Google Project Zero

CVE-2017-2481: 0011 i samarbete med Trend Micros Zero Day Initiative

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.

CVE-2017-2415: Kai Kang på Tencents Xuanwu Lab (tencent.com)

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av skadligt webbinnehåll kan leda till att Content Security Policy inte tillämpas

Beskrivning: Det förekom ett åtkomstproblem i Content Security Policy. Problemet åtgärdades genom förbättrad åtkomstbegränsning.

CVE-2017-2419: Nicolai Grødum på Cisco Systems

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av skadligt webbinnehåll kan leda till hög minnesförbrukning

Beskrivning: Ett problem med okontrollerad resursförbrukning åtgärdades genom förbättrad regex-bearbetning.

CVE-2016-9643: Gustavo Grieco

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av skadligt webbinnehåll kan leda till att processminnet visas

Beskrivning: Ett problem med avslöjande av information förekom i bearbetningen av OpenGL-shaders. Problemet åtgärdades genom förbättrad minneshantering.

CVE-2017-2424: Paul Thomson (med verktyget GLFuzz) på Multicore Programming Group, Imperial College London

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2433: Apple

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av skadligt webbinnehåll kan orsaka åtkomst till data från flera källor

Beskrivning: Flera valideringsproblem förekom i hanteringen av inläsning av sidor. Problemet åtgärdades genom förbättrad logik.

CVE-2017-2364: lokihardt på Google Project Zero

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: En webbplats med skadligt innehåll kan komma åt data från flera källor

Beskrivning: Ett valideringsproblem förekom i hanteringen av laddning av sidor. Problemet åtgärdades genom förbättrad logik.

CVE-2017-2367: lokihardt på Google Project Zero

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av skadligt utformat webbinnehåll kan leda till universell skriptkörning över flera sajter

Beskrivning: Det fanns ett logikproblem i hantering av ramobjekt. Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2017-2445: lokihardt på Google Project Zero

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Det fanns ett logikproblem i hanteringen av funktioner för strict-läge. Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2017-2446: natashenka på Google Project Zero

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Besök på en skadlig webbplats kan leda till att användarinformation hamnar i orätta händer

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2017-2447: natashenka på Google Project Zero

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2017-2463: Kai Kang (4B5F5F4B) på Tencents Xuanwu Lab (tencent.com) i samarbete med Trend Micros Zero Day Initiative

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2017-2471: Ivan Fratric på Google Project Zero

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av skadligt utformat webbinnehåll kan leda till universell skriptkörning över flera sajter

Beskrivning: Ett logikproblem förekom vid ramhantering. Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2017-2475: lokihardt på Google Project Zero

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av skadligt webbinnehåll kan orsaka åtkomst till data från flera källor

Beskrivning: Ett valideringsproblem förekom i hanteringen av element. Problemet har åtgärdats genom förbättrad validering.

CVE-2017-2479: lokihardt på Google Project Zero

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av skadligt webbinnehåll kan orsaka åtkomst till data från flera källor

Beskrivning: Ett valideringsproblem förekom i hanteringen av element. Problemet har åtgärdats genom förbättrad validering.

CVE-2017-2480: lokihardt på Google Project Zero

CVE-2017-2493: lokihardt på Google Project Zero

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Besök på en skadlig webbplats kan leda till att adressfältet förfalskas

Beskrivning: Ett problem med inkonsekvent användargränssnitt åtgärdades genom förbättrad tillståndshantering.

CVE-2017-2486: En anonym forskare

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Ett program kan köra opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2017-2392: Max Bazaliy på Lookout

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2017-2457: lokihardt på Google Project Zero

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2017-7071: Kai Kang (4B5F5F4B) på Tencents Xuanwu Lab (tencent.com) i samarbete med Trend Micros Zero Day Initiative

WebKit JavaScript Bindings

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av skadligt webbinnehåll kan orsaka åtkomst till data från flera källor

Beskrivning: Flera valideringsproblem förekom i hanteringen av inläsning av sidor. Problemet åtgärdades genom förbättrad logik.

CVE-2017-2442: lokihardt på Google Project Zero

WebKit Web Inspector

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: När ett fönster stängs medan felsökningen är pausad kan program oväntat avslutas

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2377: Vicki Pfau

WebKit Web Inspector

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2405: Apple

Ytterligare tack

Safari

Vi vill tacka Flyin9 (ZhenHui Lee) för deras hjälp.

WebKit

Vi vill tacka Yosuke HASEGAWA på Secure Sky Technology Inc. för deras hjälp.