Om säkerhetsinnehållet i Safari 10

Detta dokument beskriver säkerhetsinnehållet i Safari 10.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga buggfixar eller utgåvor är tillgängliga. Senaste uppdateringar visas på sidan Säkerhetsuppdateringar från Apple.

Mer information om säkerhet finns på sidan Apple produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-nyckel från Apple Product Security.

Apples säkerhetsdokument hänvisar när det är möjligt till sårbarheter med hjälp av CVE-ID.

Safari 10

Släpptes 20 september 2016

Safari Läsare

Tillgängligt för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12

Effekt: Om Läsare-funktionen i Safari aktiveras på en webbplats med skadligt innehåll kan det leda till en universell skriptkörning över flera platser

Beskrivning: Flera valideringsproblem åtgärdades genom förbättrad inmatningssanering.

CVE-2016-4618: Erling Ellingsen

Informationen uppdaterades 23 september 2016

Flikar i Safari

Tillgängligt för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12

Effekt: Besök på en skadlig webbplats kan leda till att adressfältet förfalskas

Beskrivning: Ett problem med tillståndshanteringen förekom i hanteringen av fliksessioner. Problemet åtgärdades genom förbättrad sessiontillståndshantering.

CVE-2016-4751: Daniel Chatfield från Monzo Bank

WebKit

Tillgängligt för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12

Effekt: Att öppna skadligt webbinnehåll kan leda till godtycklig kodkörning

Beskrivning: Ett tolkningsproblem förekom i hanteringen av problemprototyper. Problemet åtgärdades genom förbättrad validering.

CVE-2016-4728: Daniel Divricean

WebKit

Tillgängligt för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12

Effekt: Besök på en webbplats med skadligt innehåll kan läcka känsliga data

Beskrivning: Ett behörighetsproblem förekom i hanteringen av platsvariabeln. Det åtgärdades genom ytterligare ägarskapskontroller.

CVE-2016-4758: Masato Kinugawa från Cure53

WebKit

Tillgängligt för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12

Effekt: Att öppna skadligt webbinnehåll kan leda till godtycklig kodkörning

Beskrivning: Flera minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2016-4611: Apple

CVE-2016-4729: Apple

CVE-2016-4730: Apple

CVE-2016-4731: Apple

CVE-2016-4734: Natalie Silvanovich från Google Project Zero

CVE-2016-4735: André Bargull

CVE-2016-4737: Apple

CVE-2016-4759: Tongbo Luo från Palo Alto Networks

CVE-2016-4762: Zheng Huang från Baidu Security Lab

CVE-2016-4766: Apple

CVE-2016-4767: Apple

CVE-2016-4768: En anonym person i samarbete med Trend Micros Zero Day Initiative

CVE-2016-4769: Tongbo Luo från Palo Alto Networks

WebKit

Tillgängligt för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12

Effekt: En webbplats med skadligt innehåll kan få åtkomst till icke-HTTP-tjänster

Beskrivning: Safaris stöd för HTTP/0.9 tillät exploatering av icke-HTTP-tjänster med DNS-ombindning genom protokoll över flera platser. Det här problemet åtgärdades genom att begränsa HTTP/0.9-svar till standardportar och blockera inläsning av resurser om dokumentet lästes in med en annan HTTP-protokollversion.

CVE-2016-4760: Jordan Milne

WebKit

Tillgängligt för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12

Effekt: Att öppna skadligt webbinnehåll kan leda till godtycklig kodkörning

Beskrivning: Flera minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2016-4733: Natalie Silvanovich från Google Project Zero

CVE-2016-4765: Apple

WebKit

Tillgängligt för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12

Effekt: En angripare med en privilegierad nätverksposition kan påverka nätverkstrafik till program som använder WKWebView med HTTPS

Beskrivning: Ett problem med certifikatvalideringen förekom vid hantering av WKWebView. Problemet åtgärdades genom förbättrad validering.

CVE-2016-4763: En anonym forskare

WebKit

Tillgängligt för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12

Effekt: Att öppna skadligt webbinnehåll kan leda till godtycklig kodkörning

Beskrivning: Flera minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2016-4764: Apple

Lades till 3 november 2016

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: