เกี่ยวกับเนื้อหาความปลอดภัยของ Safari 10.0.2
เอกสารนี้จะอธิบายเนื้อหาความปลอดภัยของ Safari 10.0.2
เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
Safari 10.0.2
JavaScriptCore
มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12.2
ผลกระทบ: การใช้งานสคริปต์ใน Sandbox ของ JavaScript อาจสามารถเข้าถึงสถานะภายนอก Sandbox ดังกล่าวได้
คำอธิบาย: มีปัญหาการตรวจสอบในการประมวลผล JavaScript ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2016-4695: Mark S. Miller จาก Google
ตัวอ่าน Safari
มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12.2
ผลกระทบ: การเปิดใช้งานคุณสมบัติตัวอ่านหน้าเว็บของ Safari บนหน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ให้ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับการตรวจสอบได้รับการแก้ไขแล้วผ่านการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น
CVE-2016-7650: Erling Ellingsen
WebKit
มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12.2
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-4692: Apple
CVE-2016-7635: Apple
CVE-2016-7652: Apple
WebKit
มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12.2
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2016-7656: Keen Lab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
WebKit
มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12.2
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2016-4743: Alan Cutter
WebKit
มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12.2
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลผู้ใช้
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2016-7586: Boris Zbarsky
WebKit
มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12.2
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2016-7587: Adam Klein
CVE-2016-7610: Zheng Huang จาก Baidu Security Lab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2016-7611: นักวิจัยนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2016-7639: Tongbo Luo จาก Palo Alto Networks
CVE-2016-7640: Kai Kang จาก Tencent's Xuanwu Lab (tencent.com)
CVE-2016-7641: Kai Kang จาก Tencent's Xuanwu Lab (tencent.com)
CVE-2016-7642: Tongbo Luo จาก Palo Alto Networks
CVE-2016-7645: Kai Kang จาก Tencent's Xuanwu Lab (tencent.com)
CVE-2016-7646: Kai Kang จาก Tencent's Xuanwu Lab (tencent.com)
CVE-2016-7648: Kai Kang จาก Tencent's Xuanwu Lab (tencent.com)
CVE-2016-7649: Kai Kang จาก Tencent's Xuanwu Lab (tencent.com)
CVE-2016-7654: Keen Lab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
WebKit
มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12.2
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2016-7589: Apple
WebKit
มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12.2
ผลกระทบ: การเข้าชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ข้อมูลของผู้ใช้ไม่ปลอดภัย
คำอธิบาย: มีปัญหาในการจัดการพร้อมท์ JavaScript ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2016-7592: xisigr จาก Xuanwu Lab ของ Tencent (tencent.com)
WebKit
มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12.2
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหาการเข้าถึงหน่วยความจำที่ไม่ได้เตรียมใช้งานได้รับการแก้ไขแล้วผ่านการปรับปรุงการเตรียมใช้งานหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-7598: Samuel Groß
WebKit
มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12.2
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลผู้ใช้
คำอธิบาย: มีปัญหาในการจัดการการเปลี่ยนเส้นทางของ HTTP ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบแบบข้ามต้นทางให้ดียิ่งขึ้น
CVE-2016-7599: Muneaki Nishimura (nishimunea) จาก Recruit Technologies Co., Ltd.
WebKit
มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12.1
ผลกระทบ: การเข้าชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ข้อมูลของผู้ใช้ไม่ปลอดภัย
คำอธิบาย: มีปัญหาในการจัดการ Blob URL ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการ URL ให้ดียิ่งขึ้น
CVE-2016-7623: xisigr จาก Xuanwu Lab ของ Tencent (tencent.com)
WebKit
มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12.2
ผลกระทบ: การเข้าหน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2016-7632: Jeonghoon Shin
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม