เกี่ยวกับเนื้อหาความปลอดภัยของ Safari 9.1.2

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ Safari 9.1.2

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียด และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้า รายการอัพเดทความปลอดภัยของ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้า ความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้ คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

Safari 9.1.2

WebKit

มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11.6

ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-4589: Tongbo Luo และ Bo Qu จาก Palo Alto Networks

CVE-2016-4622: Samuel Gross ทำงานร่วมกับ Zero Day ของ Trend Micro

CVE-2016-4623: Apple

CVE-2016-4624: Apple

CVE-2016-4586: Apple

WebKit

มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11.6

ผลกระทบ: การเข้าดูเว็บไซต์ที่เป็นอันตรายอาจเปิดเผยข้อมูลภาพจากเว็บไซต์อื่น

คำอธิบาย: มีปัญหาเรื่องการบันทึกเวลาในการประมวลผล SVG ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2016-4583: Roeland Krak

WebKit

มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11.6

ผลกระทบ: การเข้าดูหน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการปฏิเสธการให้บริการของระบบ

คำอธิบาย: ปัญหาการใช้หน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-4592: Mikhail

WebKit

มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11.6

ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ข้อมูลสำคัญรั่วไหลได้

คำอธิบาย: มีปัญหาสิทธิ์อนุญาตในการจัดการตัวแปรตำแหน่งที่ตั้ง ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบสถานะความเป็นเจ้าของเพิ่มเติม

CVE-2016-4591: ma.la จาก LINE Corporation

WebKit

มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11.6

ผลกระทบ: การเข้าดูเว็บไซต์ที่เป็นอันตรายอาจทำให้เกิดการปลอมแปลงอินเทอร์เฟซผู้ใช้

คำอธิบาย: มีปัญหาการรับสืบทอดจากต้นทางในการแยกวิเคราะห์เกี่ยวกับ URL ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบต้นทางในการรักษาความปลอดภัยให้ดียิ่งขึ้น

CVE-2016-4590: xisigr จาก Xuanwu Lab ของ Tencent (www.tencent.com)

WebKit JavaScript Bindings

มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11.6

ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้สคริปต์ในบริบทของบริการที่ไม่ใช่ HTTP

คำอธิบาย: มีปัญหา Cross-Protocol Cross-Site Scripting (XPXSS) ใน Safari ขณะที่ส่งแบบฟอร์มต่างๆ ไปยังบริการที่ไม่ใช่ HTTP ซึ่งเข้ากันได้กับ HTTP/0.9 ปัญหานี้ได้รับการแก้ไขแล้วโดยการปิดใช้งานสคริปต์และปลั๊กอินต่างๆ บนทรัพยากรที่โหลดผ่าน HTTP/0.9

CVE-2016-4651: Obscure

การโหลดหน้า WebKit

มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11.6

ผลกระทบ: เว็บไซต์ที่เป็นอันตรายอาจถอนข้อมูลข้ามต้นทาง

คำอธิบาย: มีปัญหา Cross-Site Scripting ในการเปลี่ยนเส้นทาง URL ของ Safari ใหม่ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบการเปลี่ยนเส้นทาง URL ใหม่ให้ดียิ่งขึ้น

CVE-2016-4585: Takeshi Terada จาก Mitsui Bussan Secure Directions, Inc. (www.mbsd.jp)

การโหลดหน้า WebKit

มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11.6

ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-4584: Chris Vienneau