Om säkerhetsinnehållet i Safari 10.1

Detta dokument beskriver säkerhetsinnehållet i Safari 10.1.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-nyckel från Apple Product Security.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Safari 10.1

Släpptes 27 mars 2017

CoreGraphics

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till körning av godtycklig kod

Beskrivning: Flera minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2444: Mei Wang på 360 GearTeam

JavaScriptCore

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till körning av godtycklig kod

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2017-2491: Apple

Lades till 2 maj 2017

JavaScriptCore

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av en felaktigt utformad webbsida kan leda till universell skriptkörning över flera sajter

Beskrivning: Ett prototypfel åtgärdades genom förbättrad logik.

CVE-2017-2492: lokihardt på Google Project Zero

Uppdaterades 24 april 2017

Safari

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Besök på en skadlig webbplats kan leda till att adressfältet förfalskas

Beskrivning: Ett problem med tillståndshantering åtgärdades genom inaktivering av textinmatning tills målsidan var inläst.

CVE-2017-2376: En anonym forskare, Chris Hlady på Google Inc, Yuyang Zhou på Tencent Security Platform Department (security.tencent.com), Muneaki Nishimura (nishimunea) på Recruit Technologies Co., Ltd., Michal Zalewski på Google Inc, en anonym forskare

Safari

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan visa autentiseringsark på skadliga webbplatser

Beskrivning: Ett problem med förfalskning och dos-angrepp (denial of service) förekom vid hantering av HTTP-autentisering. Problemet åtgärdades genom att HTTP-autentiseringsarken gjordes icke-modala.

CVE-2017-2389: ShenYeYinJiu på Tencent Security Response Center, TSRC

Safari

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Besök på en webbplats med skadligt innehåll via länkklick kan leda till att användargränssnittet förfalskas

Beskrivning: Ett problem med förfalskning förekom i hanteringen av FaceTime-uppmaningar. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2017-2453: xisigr på Tencents Xuanwu Lab (tencent.com)

Autofyll vid Safari-inloggning

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: En lokal användare kan komma åt låsta nyckelringsobjekt

Beskrivning: Ett problem med nyckelringshanteringen bemöttes med en förbättrad hantering av nyckelringsobjekt.

CVE-2017-2385: Simon Woodside på MedStack

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: När en felaktigt utformad länk dras och släpps kan det kan leda till förfalskning av bokmärke eller körning av godtycklig kod

Beskrivning: Det förekom ett valideringsproblem när bokmärken skapades. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2017-2378: xisigr på Tencents Xuanwu Lab (tencent.com)

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan orsaka åtkomst till data från flera källor

Beskrivning: Ett problem med prototypåtkomst åtgärdades genom förbättrad undantagshantering.

CVE-2017-2386: André Bargull

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till körning av godtycklig kod

Beskrivning: Flera minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2394: Apple

CVE-2017-2396: Apple

CVE-2016-9642: Gustavo Grieco

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till körning av godtycklig kod

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2017-2395: Apple

CVE-2017-2454: Ivan Fratric på Google Project Zero, Zheng Huang på Baidu Security Lab i samarbete med Trend Micros Zero Day Initiative 

CVE-2017-2455: Ivan Fratric på Google Project Zero

CVE-2017-2459: Ivan Fratric på Google Project Zero

CVE-2017-2460: Ivan Fratric på Google Project Zero

CVE-2017-2464: Jeonghoon Shin, Natalie Silvanovich på Google Project Zero

CVE-2017-2465: Zheng Huang och Wei Yuan på Baidu Security Lab

CVE-2017-2466: Ivan Fratric på Google Project Zero

CVE-2017-2468: lokihardt på Google Project Zero

CVE-2017-2469: lokihardt på Google Project Zero

CVE-2017-2470: lokihardt på Google Project Zero

CVE-2017-2476: Ivan Fratric på Google Project Zero

CVE-2017-2481: 0011 i samarbete med Trend Micros Zero Day Initiative

Uppdaterades 20 juni 2017

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till körning av godtycklig kod

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.

CVE-2017-2415: Kai Kang på Tencents Xuanwu Lab (tencent.com)

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till att Content Security Policy inte tillämpas

Beskrivning: Det förekom ett åtkomstproblem i Content Security Policy.  Problemet åtgärdades genom förbättrad åtkomstbegränsning.

CVE-2017-2419: Nicolai Grødum på Cisco Systems

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till hög minnesförbrukning

Beskrivning: Ett problem med okontrollerad resursförbrukning åtgärdades genom förbättrad regex-bearbetning.

CVE-2016-9643: Gustavo Grieco

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till att processminnet visas

Beskrivning: Ett problem med avslöjande av information förekom i bearbetningen av OpenGL-shaders. Problemet åtgärdades genom förbättrad minneshantering.

CVE-2017-2424: Paul Thomson (med verktyget GLFuzz) på Multicore Programming Group, Imperial College London

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till körning av godtycklig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2433: Apple

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan orsaka åtkomst till data från flera källor

Beskrivning: Flera valideringsproblem förekom i hanteringen av inläsning av sidor. Problemet åtgärdades genom förbättrad logik.

CVE-2017-2364: lokihardt på Google Project Zero

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: En webbplats med skadligt innehåll kan komma åt data från flera källor

Beskrivning: Ett valideringsproblem förekom i hanteringen av laddning av sidor. Problemet åtgärdades genom förbättrad logik.

CVE-2017-2367: lokihardt på Google Project Zero

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av skadligt utformat webbinnehåll kan leda till universell skriptkörning över flera sajter

Beskrivning: Det fanns ett logikproblem i hantering av ramobjekt. Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2017-2445: lokihardt på Google Project Zero

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till körning av godtycklig kod

Beskrivning: Det fanns ett logikproblem i hanteringen av funktioner för strict-läge. Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2017-2446: Natalie Silvanovich på Google Project Zero

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Besök på en felaktigt utformad webbplats kan leda till att användarinformation hamnar i orätta händer

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2017-2447: Natalie Silvanovich på Google Project Zero

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till körning av godtycklig kod

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2017-2463: Kai Kang (4B5F5F4B) på Tencents Xuanwu Lab (tencent.com) i samarbete med Trend Micros Zero Day Initiative

Lades till 28 mars 2017

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till körning av godtycklig kod

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2017-2471: Ivan Fratric på Google Project Zero

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av skadligt utformat webbinnehåll kan leda till universell skriptkörning över flera sajter

Beskrivning: Ett logikproblem förekom vid ramhantering. Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2017-2475: lokihardt på Google Project Zero

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan orsaka åtkomst till data från flera källor

Beskrivning: Ett valideringsproblem förekom i hanteringen av element. Problemet har åtgärdats genom förbättrad validering.

CVE-2017-2479: lokihardt på Google Project Zero

Lades till 28 mars 2017

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan orsaka åtkomst till data från flera källor

Beskrivning: Ett valideringsproblem förekom i hanteringen av element. Problemet har åtgärdats genom förbättrad validering.

CVE-2017-2480: lokihardt på Google Project Zero

CVE-2017-2493: lokihardt på Google Project Zero

Uppdaterades 24 april 2017

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Besök på en skadlig webbplats kan leda till att adressfältet förfalskas

Beskrivning: Ett problem med inkonsekvent användargränssnitt åtgärdades genom förbättrad tillståndshantering.

CVE-2017-2486: En anonym forskare

Lades till 30 mars 2017

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Ett program kan köra godtycklig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2017-2392: Max Bazaliy på Lookout

Lades till 30 mars 2017

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till körning av godtycklig kod

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2017-2457: lokihardt på Google Project Zero

Lades till 30 mars 2017

WebKit

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till körning av godtycklig kod

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2017-7071: Kai Kang (4B5F5F4B) på Tencents Xuanwu Lab (tencent.com) i samarbete med Trend Micros Zero Day Initiative 

Lades till 23 augusti 2017

WebKit JavaScript Bindings

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan orsaka åtkomst till data från flera källor

Beskrivning: Flera valideringsproblem förekom i hanteringen av inläsning av sidor. Problemet åtgärdades genom förbättrad logik.

CVE-2017-2442: lokihardt på Google Project Zero

WebKit Web Inspector

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: När ett fönster stängs medan felsökningen är pausad kan program oväntat avslutas

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2377: Vicki Pfau

WebKit Web Inspector

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12.4

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till körning av godtycklig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2405: Apple

Ytterligare tack

Safari

Vi vill tacka Flyin9 (ZhenHui Lee) för deras hjälp.

WebKit

Vi vill tacka Yosuke HASEGAWA på Secure Sky Technology Inc. för deras hjälp.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: