เกี่ยวกับเนื้อหาความปลอดภัยของ Safari 10
เอกสารนี้จะอธิบายเนื้อหาความปลอดภัยของ Safari 10
เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
Safari 10
ตัวอ่าน Safari
มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12
ผลกระทบ: การเปิดใช้งานคุณสมบัติตัวอ่านหน้าเว็บของ Safari บนหน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ให้ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับการตรวจสอบได้รับการแก้ไขแล้วผ่านการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น
CVE-2016-4618: Erling Ellingsen
แท็บต่างๆ ของ Safari
มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12
ผลกระทบ: การเข้าชมเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงแถบที่อยู่
คำอธิบาย: มีปัญหาการจัดการสถานะในการจัดการเซสชั่นของแท็บ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการจัดการสถานะเซสชั่น
CVE-2016-4751: Daniel Chatfield จาก Monzo Bank
WebKit
มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: มีปัญหาการแยกวิเคราะห์ในการจัดการต้นแบบข้อผิดพลาด ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2016-4728: Daniel Divricean
WebKit
มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12
ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ข้อมูลสำคัญรั่วไหลได้
คำอธิบาย: มีปัญหาสิทธิ์อนุญาตในการจัดการตัวแปรด้านตำแหน่งที่ตั้ง ปัญหานี้ได้รับการแก้ไขแล้วผ่านการตรวจสอบเพิ่มเติมเกี่ยวกับสถานะความเป็นเจ้าของ
CVE-2016-4758: Masato Kinugawa จาก Cure53
WebKit
มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-4611: Apple
CVE-2016-4729: Apple
CVE-2016-4730: Apple
CVE-2016-4731: Apple
CVE-2016-4734: natashenka จาก Google Project Zero
CVE-2016-4735: André Bargull
CVE-2016-4737: Apple
CVE-2016-4759: Tongbo Luo จาก Palo Alto Networks
CVE-2016-4762: Zheng Huang จาก Baidu Security Lab
CVE-2016-4766: Apple
CVE-2016-4767: Apple
CVE-2016-4768: บุคคลนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2016-4769: Tongbo Luo จาก Palo Alto Networks
WebKit
มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12
ผลกระทบ: เว็บไซต์ที่เป็นอันตรายอาจสามารถเข้าถึงบริการที่ไม่ใช่ HTTP ได้
คำอธิบาย: การรองรับการใช้งาน HTTP/0.9 ใน Safari ทำให้เกิดการใช้งานข้ามโปรโตคอลอย่างไม่ถูกต้องในบริการที่ไม่ใช่ HTTP โดยใช้การโจมตีแบบ DNS rebinding ปัญหานี้ได้รับการแก้ไขแล้วโดยจำกัดการตอบสนอง HTTP/0.9 กับพอร์ตตามค่าเริ่มต้นและยกเลิกการโหลดแหล่งข้อมูล หากเอกสารนั้นโหลดโดยใช้โปรโตคอล HTTP เวอร์ชั่นอื่น
CVE-2016-4760: Jordan Milne
WebKit
มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2016-4733: natashenka จาก Google Project Zero
CVE-2016-4765: Apple
WebKit
มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12
ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถสกัดและปรับเปลี่ยนการรับส่งข้อมูลทางเครือข่ายของแอพพลิเคชั่นได้โดยใช้ WKWebView ที่มี HTTPS
คำอธิบาย: มีปัญหาการตรวจสอบใบรับรองในการจัดการ WKWebView ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2016-4763: นักวิจัยนิรนาม
WebKit
มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2016-4764: Apple
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม