เกี่ยวกับเนื้อหาความปลอดภัยของ Safari 10.0.3

เอกสารนี้อธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ Safari 10.0.3

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียด และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

Safari 10.0.3

Safari

มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12.3

ผลกระทบ: การเข้าดูเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงแถบที่อยู่

คำอธิบาย: ปัญหาการจัดการสถานะในแถบที่อยู่ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการ URL ให้ดียิ่งขึ้น

CVE-2017-2359: xisigr จาก Tencent's Xuanwu Lab (tencent.com)

WebKit

มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12.3

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจลักลอบถอนข้อมูลข้ามต้นทาง

คำอธิบาย: ปัญหาการเข้าถึงต้นแบบได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการข้อยกเว้นให้ดียิ่งขึ้น

CVE-2017-2350: Gareth Heyes จาก Portswigger Web Security

WebKit

มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12.3

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-2354: Neymar จาก Tencent's Xuanwu Lab (tencent.com) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2017-2362: Ivan Fratric จาก Google Project Zero

CVE-2017-2373: Ivan Fratric จาก Google Project Zero

WebKit

มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12.3

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการเตรียมใช้งานหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-2355: Team Pangu และ Lokihardt ที่ PwnFest 2016

WebKit

มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12.3

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-2356: Team Pangu และ Lokihardt ที่ PwnFest 2016

CVE-2017-2369: Ivan Fratric จาก Google Project Zero

CVE-2017-2366: Kai Kang จาก Tencent's Xuanwu Lab (tencent.com)

WebKit

มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12.3

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจลักลอบถอนข้อมูลข้ามต้นทาง

คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับการตรวจสอบในการจัดการการโหลดหน้า ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงตรรกะให้ดียิ่งขึ้น

CVE-2017-2363: Lokihardt จาก Google Project Zero

CVE-2017-2364: Lokihardt จาก Google Project Zero

WebKit

มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12.3

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจลักลอบถอนข้อมูลข้ามต้นทาง

คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการตัวแปร ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2017-2365: Lokihardt จาก Google Project Zero

คำขอบคุณพิเศษ

การฮาร์ดเดนนิ่ง WebKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Ben Gras, Kaveh Razavi, Erik Bosman, Herbert Bos และ Cristiano Giuffrida จาก VUSec Group ที่ Vrije Universiteit Amsterdam