เกี่ยวกับเนื้อหาความปลอดภัยของ Safari 10.0.2

เอกสารนี้จะอธิบายเนื้อหาความปลอดภัยของ Safari 10.0.2

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

Safari 10.0.2

เปิดตัวเมื่อวันที่ 13 ธันวาคม 2016

JavaScriptCore

มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12.2

ผลกระทบ: การใช้งานสคริปต์ใน Sandbox ของ JavaScript อาจสามารถเข้าถึงสถานะภายนอก Sandbox ดังกล่าวได้

คำอธิบาย: มีปัญหาการตรวจสอบในการประมวลผล JavaScript ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2016-4695: Mark S. Miller จาก Google

เพิ่มรายการเมื่อวันที่ 16 สิงหาคม 2017

ตัวอ่าน Safari

มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12.2

ผลกระทบ: การเปิดใช้งานคุณสมบัติตัวอ่านหน้าเว็บของ Safari บนหน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ให้ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับการตรวจสอบได้รับการแก้ไขแล้วผ่านการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2016-7650: Erling Ellingsen

WebKit

มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12.2

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-4692: Apple

CVE-2016-7635: Apple

CVE-2016-7652: Apple

WebKit

มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12.2

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2016-7656: Keen Lab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

WebKit

มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12.2

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2016-4743: Alan Cutter

WebKit

มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12.2

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลผู้ใช้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2016-7586: Boris Zbarsky

WebKit

มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12.2

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2016-7587: Adam Klein

CVE-2016-7610: Zheng Huang จาก Baidu Security Lab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2016-7611: นักวิจัยนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2016-7639: Tongbo Luo จาก Palo Alto Networks

CVE-2016-7640: Kai Kang จาก Tencent's Xuanwu Lab (tencent.com)

CVE-2016-7641: Kai Kang จาก Tencent's Xuanwu Lab (tencent.com)

CVE-2016-7642: Tongbo Luo จาก Palo Alto Networks

CVE-2016-7645: Kai Kang จาก Tencent's Xuanwu Lab (tencent.com)

CVE-2016-7646: Kai Kang จาก Tencent's Xuanwu Lab (tencent.com)

CVE-2016-7648: Kai Kang จาก Tencent's Xuanwu Lab (tencent.com)

CVE-2016-7649: Kai Kang จาก Tencent's Xuanwu Lab (tencent.com)

CVE-2016-7654: Keen Lab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

WebKit

มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12.2

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2016-7589: Apple

WebKit

มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12.2

ผลกระทบ: การเข้าชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ข้อมูลของผู้ใช้ไม่ปลอดภัย

คำอธิบาย: มีปัญหาในการจัดการพร้อมท์ JavaScript ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2016-7592: xisigr จาก Xuanwu Lab ของ Tencent (tencent.com)

WebKit

มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12.2

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหาการเข้าถึงหน่วยความจำที่ไม่ได้เตรียมใช้งานได้รับการแก้ไขแล้วผ่านการปรับปรุงการเตรียมใช้งานหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-7598: Samuel Groß

WebKit

มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12.2

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลผู้ใช้

คำอธิบาย: มีปัญหาในการจัดการการเปลี่ยนเส้นทางของ HTTP ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบแบบข้ามต้นทางให้ดียิ่งขึ้น

CVE-2016-7599: Muneaki Nishimura (nishimunea) จาก Recruit Technologies Co., Ltd.

WebKit

มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12.1

ผลกระทบ: การเข้าชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ข้อมูลของผู้ใช้ไม่ปลอดภัย

คำอธิบาย: มีปัญหาในการจัดการ Blob URL ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการ URL ให้ดียิ่งขึ้น

CVE-2016-7623: xisigr จาก Xuanwu Lab ของ Tencent (tencent.com)

เพิ่มรายการเมื่อวันที่ 14 ธันวาคม 2016

WebKit

มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12.2

ผลกระทบ: การเข้าหน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2016-7632: Jeonghoon Shin

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: