Om säkerhetsinnehållet i Safari 10

Detta dokument beskriver säkerhetsinnehållet i Safari 10.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-nyckel från Apple Product Security.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Safari 10

Släpptes 20 september 2016

Safari-läsaren

Tillgängligt för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12

Effekt: Aktivering av funktionen Safari-läsaren på en webbsida med skadligt innehåll kan leda till universell skriptkörning över flera sajter

Beskrivning: Flera valideringsproblem åtgärdades genom förbättrad indatasanering.

CVE-2016-4618: Erling Ellingsen

Informationen uppdaterades 23 september 2016

Flikar i Safari

Tillgängligt för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12

Effekt: Besök på en webbplats med skadligt innehåll kan leda till att adressfältet förfalskas

Beskrivning: Ett problem med tillståndshanteringen förekom i hanteringen av fliksessioner. Problemet åtgärdades genom förbättrad sessiontillståndshantering.

CVE-2016-4751: Daniel Chatfield från Monzo Bank

WebKit

Tillgängligt för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett tolkningsproblem förekom i hanteringen av problemprototyper. Problemet åtgärdades genom förbättrad validering.

CVE-2016-4728: Daniel Divricean

WebKit

Tillgängligt för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12

Effekt: Besök på en webbplats med skadligt innehåll kan läcka känsliga data

Beskrivning: Ett behörighetsproblem förekom i hanteringen av platsvariabeln. Det åtgärdades genom ytterligare ägarskapskontroller.

CVE-2016-4758: Masato Kinugawa från Cure53

WebKit

Tillgängligt för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2016-4611: Apple

CVE-2016-4729: Apple

CVE-2016-4730: Apple

CVE-2016-4731: Apple

CVE-2016-4734: natashenka på Google Project Zero

CVE-2016-4735: André Bargull

CVE-2016-4737: Apple

CVE-2016-4759: Tongbo Luo på Palo Alto Networks

CVE-2016-4762: Zheng Huang från Baidu Security Lab

CVE-2016-4766: Apple

CVE-2016-4767: Apple

CVE-2016-4768: En anonym person i samarbete med Trend Micros Zero Day Initiative

CVE-2016-4769: Tongbo Luo från Palo Alto Networks

WebKit

Tillgängligt för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12

Effekt: En webbplats med skadligt innehåll kan få åtkomst till icke-HTTP-tjänster

Beskrivning: Safaris stöd för HTTP/0.9 tillät exploatering av icke-HTTP-tjänster med DNS-ombindning genom protokoll över flera platser. Det här problemet åtgärdades genom att begränsa HTTP/0.9-svar på standardportar och blockera inläsning av resurser om dokumentet lästes in med en annan HTTP-protokollversion.

CVE-2016-4760: Jordan Milne

WebKit

Tillgängligt för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Flera minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2016-4733: natashenka på Google Project Zero

CVE-2016-4765: Apple

WebKit

Tillgängligt för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12

Effekt: En angripare med en privilegierad nätverksposition kan påverka nätverkstrafik för program som använder WKWebView med HTTPS

Beskrivning: Det fanns ett valideringsproblem vid hanteringen av WKWebView. Problemet har åtgärdats genom förbättrad validering.

CVE-2016-4763: En anonym forskare

WebKit

Tillgängligt för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Flera minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2016-4764: Apple

Posten lades till 3 november 2016

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: