เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียด และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้า รายการอัพเดทความปลอดภัยของ Apple
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้า ความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้ คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
Safari 10
เปิดตัวเมื่อวันที่ 20 กันยายน 2016
ตัวอ่าน Safari
มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12
ผลกระทบ: การเปิดใช้งานคุณสมบัติตัวอ่านหน้าเว็บของ Safari ในหน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดปัญหาการแฝงสคริปต์บนไซต์แบบทั่วไปได้
คำอธิบาย: ปัญหาการตรวจสอบจำนวนมากได้รับการแก้ไขแล้วานการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2016-4618: Erling Ellingsen
รายการที่อัพเดทเมื่อ 23 กันยายน 2016
แท็บต่างๆ ของ Safari
มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12
ผลกระทบ: การเข้าดูเว็บไซต์ที่เป็นอันตรายอาจทำให้เกิดการปลอมแปลงแถบที่อยู่
คำอธิบาย: มีปัญหาการจัดการสถานะในการจัดการเซสชั่นของแท็บ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการจัดการสถานะเซสชั่น
CVE-2016-4751: Daniel Chatfield จาก Monzo Bank
WebKit
มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12
ผลกระทบ: การประมวลผลเนื้อหาเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาการแยกวิเคราะห์ในการจัดการกับต้นแบบของข้อผิดพลาด ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2016-4728: Daniel Divricean
WebKit
มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12
ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ข้อมูลสำคัญรั่วไหลได้
คำอธิบาย: มีปัญหาสิทธิ์อนุญาตในการจัดการตัวแปรด้านตำแหน่งที่ตั้ง ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบสถานะความเป็นเจ้าของเพิ่มเติม
CVE-2016-4758: Masato Kinugawa จาก Cure53
WebKit
มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12
ผลกระทบ: การประมวลผลเนื้อหาเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-4611: Apple
CVE-2016-4729: Apple
CVE-2016-4730: Apple
CVE-2016-4731: Apple
CVE-2016-4734: Natalie Silvanovich จาก Google Project Zero
CVE-2016-4735: André Bargull
CVE-2016-4737: Apple
CVE-2016-4759: Tongbo Luo จาก Palo Alto Networks
CVE-2016-4762: Zheng Huang จาก Baidu Security Lab
CVE-2016-4766: Apple
CVE-2016-4767: Apple
CVE-2016-4768: บุคคลนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2016-4769: Tongbo Luo จาก Palo Alto Networks
WebKit
มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12
ผลกระทบ: เว็บไซต์ที่เป็นอันตรายอาจสามารถเข้าถึงบริการแบบที่ไม่ใช่ HTTP ได้
คำอธิบาย: การรองรับ HTTP/0.9 ของ Safari อาจทำให้เกิดการแสวงหาประโยชน์จากบริการแบบที่ไม่ใช่ HTTP ที่ใช้การเชื่อมโยงใหม่อีกครั้งแบบ DNS ปัญหานี้ได้รับการแก้ไขแล้วด้วยการจำกัดการตอบสนองของ HTTP/0.9 ให้เป็นพอร์ตเริ่มต้นและยกเลิกการโหลดแหล่งข้อมูลหากระบบโหลดเอกสารโดยใช้เวอร์ชั่นโปรโตคอล HTTP อื่นๆ
CVE-2016-4760: Jordan Milne
WebKit
มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12
ผลกระทบ: การประมวลผลเนื้อหาเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2016-4733: Natalie Silvanovich จาก Google Project Zero
CVE-2016-4765: Apple
WebKit
มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12
ผลกระทบ: ผู้โจมตีที่มีสิทธิ์ในระดับเครือข่ายอาจสามารถดักจับและเปลี่ยนแปลงปริมาณการใช้งานเครือข่ายของแอพพลิเคชั่นโดยใช้ WKWebView กับ HTTPS ได้
คำอธิบาย: มีปัญหาการตรวจสอบใบรับรองในการจัดการ WKWebView ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2016-4763: นักวิจัยนิรนาม
WebKit
มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12
ผลกระทบ: การประมวลผลเนื้อหาเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2016-4764: Apple
รายการที่อัพเดทเมื่อ 3 พฤศจิกายน 2016