เกี่ยวกับเนื้อหาด้านความปลอดภัยของ Safari 10.1.2
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ Safari 10.1.2
เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
Safari 10.1.2
การพิมพ์ Safari
มีให้สำหรับ: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 และ macOS Sierra 10.12.6
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้กล่องโต้ตอบการพิมพ์มีจำนวนนับไม่ถ้วน
คำอธิบาย: มีปัญหาเกี่ยวกับเว็บไซต์ที่ประสงค์ร้ายหรือมีความเสี่ยงที่อาจแสดงกล่องโต้ตอบการพิมพ์จำนวนนับไม่ถ้วน และทำให้ผู้ใช้เชื่อว่าเบราเซอร์ของตนถูกล็อค ปัญหานี้ได้รับการแก้ไขแล้วผ่านการควบคุมจำนวนกล่องโต้ตอบการพิมพ์
CVE-2017-7060: Travis Kelley จาก City of Mishawaka, อินเดียนา
WebKit
มีให้สำหรับ: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 และ macOS Sierra 10.12.6
ผลกระทบ: เว็บไซต์ที่ประสงค์ร้ายอาจถอนข้อมูลข้ามต้นทาง
คำอธิบาย: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจอนุญาตให้ข้อมูลข้ามต้นทางถูกถอนโดยใช้ตัวกรอง SVG เพื่อดำเนินการโจมตีโดยอาศัยผลข้างเคียงด้านระยะเวลา ปัญหานี้ได้รับการแก้ไขแล้วโดยการไม่ระบายสีบัฟเฟอร์ข้ามต้นทางลงในเฟรมที่ถูกกรอง
CVE-2017-7006: David Kohlbrenner จาก UC San Diego, นักวิจัยนิรนาม
WebKit
มีให้สำหรับ: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 และ macOS Sierra 10.12.6
ผลกระทบ: การเข้าชมเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงแถบที่อยู่
คำอธิบาย: ปัญหาการจัดการสถานะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการเฟรมให้ดียิ่งขึ้น
CVE-2017-7011: xisigr จาก Xuanwu Lab ของ Tencent (tencent.com)
WebKit
มีให้สำหรับ: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 และ macOS Sierra 10.12.6
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-7018: lokihardt จาก Google Project Zero
CVE-2017-7020: likemeng จาก Baidu Security Lab
CVE-2017-7030: chenqin จาก Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)
CVE-2017-7034: chenqin จาก Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)
CVE-2017-7037: lokihardt จาก Google Project Zero
CVE-2017-7039: Ivan Fratric จาก Google Project Zero
CVE-2017-7040: Ivan Fratric จาก Google Project Zero
CVE-2017-7041: Ivan Fratric จาก Google Project Zero
CVE-2017-7042: Ivan Fratric จาก Google Project Zero
CVE-2017-7043: Ivan Fratric จาก Google Project Zero
CVE-2017-7046: Ivan Fratric จาก Google Project Zero
CVE-2017-7048: Ivan Fratric จาก Google Project Zero
CVE-2017-7052: cc ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2017-7055: National Cyber Security Centre (NCSC) แห่งสหราชอาณาจักร
CVE-2017-7056: lokihardt จาก Google Project Zero
CVE-2017-7061: lokihardt จาก Google Project Zero
WebKit
มีให้สำหรับ: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 และ macOS Sierra 10.12.6
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายโดยใช้ DOMParser อาจทำให้มีการส่งลิงก์ฝังสคริปต์ให้ไปยังไซต์อื่น
คำอธิบาย: มีปัญหาตรรกะในการจัดการ DOMParser ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2017-7038: Egor Karbutov (@ShikariSenpai) จาก Digital Security และ Egor Saltykov (@ansjdnakjdnajkd) จาก Digital Security, Neil Jenkins จาก FastMail Pty Ltd
CVE-2017-7059: Masato Kinugawa และ Mario Heiderich จาก Cure53
WebKit
มีให้สำหรับ: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 และ macOS Sierra 10.12.6
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-7049: Ivan Fratric จาก Google Project Zero
WebKit
มีให้สำหรับ: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 และ macOS Sierra 10.12.6
ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่จำกัดได้
คำอธิบาย: ปัญหาการเริ่มต้นหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-7064: lokihardt จาก Google Project Zero
การโหลดหน้า WebKit
มีให้สำหรับ: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 และ macOS Sierra 10.12.6
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-7019: Zhiyang Zeng จาก Tencent Security Platform Department
WebKit Web Inspector
มีให้สำหรับ: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 และ macOS Sierra 10.12.6
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-7012: Apple
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม