เกี่ยวกับเนื้อหาความปลอดภัยของ Safari 10

เอกสารนี้จะอธิบายเนื้อหาความปลอดภัยของ Safari 10

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียด และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้า รายการอัพเดทความปลอดภัยของ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้า ความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้ คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

Safari 10

เปิดตัวเมื่อวันที่ 20 กันยายน 2016

ตัวอ่าน Safari

มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12

ผลกระทบ: การเปิดใช้งานคุณสมบัติตัวอ่านหน้าเว็บของ Safari ในหน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดปัญหาการแฝงสคริปต์บนไซต์แบบทั่วไปได้

คำอธิบาย: ปัญหาการตรวจสอบจำนวนมากได้รับการแก้ไขแล้วานการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2016-4618: Erling Ellingsen

รายการที่อัพเดทเมื่อ 23 กันยายน 2016

แท็บต่างๆ ของ Safari

มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12

ผลกระทบ: การเข้าดูเว็บไซต์ที่เป็นอันตรายอาจทำให้เกิดการปลอมแปลงแถบที่อยู่

คำอธิบาย: มีปัญหาการจัดการสถานะในการจัดการเซสชั่นของแท็บ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการจัดการสถานะเซสชั่น

CVE-2016-4751: Daniel Chatfield จาก Monzo Bank

WebKit

มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12

ผลกระทบ: การประมวลผลเนื้อหาเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาการแยกวิเคราะห์ในการจัดการกับต้นแบบของข้อผิดพลาด ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2016-4728: Daniel Divricean

WebKit

มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12

ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ข้อมูลสำคัญรั่วไหลได้

คำอธิบาย: มีปัญหาสิทธิ์อนุญาตในการจัดการตัวแปรด้านตำแหน่งที่ตั้ง ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบสถานะความเป็นเจ้าของเพิ่มเติม

CVE-2016-4758: Masato Kinugawa จาก Cure53

WebKit

มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12

ผลกระทบ: การประมวลผลเนื้อหาเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-4611: Apple

CVE-2016-4729: Apple

CVE-2016-4730: Apple

CVE-2016-4731: Apple

CVE-2016-4734: Natalie Silvanovich จาก Google Project Zero

CVE-2016-4735: André Bargull

CVE-2016-4737: Apple

CVE-2016-4759: Tongbo Luo จาก Palo Alto Networks

CVE-2016-4762: Zheng Huang จาก Baidu Security Lab

CVE-2016-4766: Apple

CVE-2016-4767: Apple

CVE-2016-4768: บุคคลนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2016-4769: Tongbo Luo จาก Palo Alto Networks

WebKit

มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12

ผลกระทบ: เว็บไซต์ที่เป็นอันตรายอาจสามารถเข้าถึงบริการแบบที่ไม่ใช่ HTTP ได้

คำอธิบาย: การรองรับ HTTP/0.9 ของ Safari อาจทำให้เกิดการแสวงหาประโยชน์จากบริการแบบที่ไม่ใช่ HTTP ที่ใช้การเชื่อมโยงใหม่อีกครั้งแบบ DNS ปัญหานี้ได้รับการแก้ไขแล้วด้วยการจำกัดการตอบสนองของ HTTP/0.9 ให้เป็นพอร์ตเริ่มต้นและยกเลิกการโหลดแหล่งข้อมูลหากระบบโหลดเอกสารโดยใช้เวอร์ชั่นโปรโตคอล HTTP อื่นๆ

CVE-2016-4760: Jordan Milne

WebKit

มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12

ผลกระทบ: การประมวลผลเนื้อหาเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2016-4733: Natalie Silvanovich จาก Google Project Zero

CVE-2016-4765: Apple

WebKit

มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12

ผลกระทบ: ผู้โจมตีที่มีสิทธิ์ในระดับเครือข่ายอาจสามารถดักจับและเปลี่ยนแปลงปริมาณการใช้งานเครือข่ายของแอพพลิเคชั่นโดยใช้ WKWebView กับ HTTPS ได้

คำอธิบาย: มีปัญหาการตรวจสอบใบรับรองในการจัดการ WKWebView ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2016-4763: นักวิจัยนิรนาม

WebKit

มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12

ผลกระทบ: การประมวลผลเนื้อหาเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2016-4764: Apple

รายการที่อัพเดทเมื่อ 3 พฤศจิกายน 2016

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: