เกี่ยวกับเนื้อหาความปลอดภัยของ Safari 10.0.3

เอกสารนี้อธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ Safari 10.0.3

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียด และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

Safari 10.0.3

เปิดตัวเมื่อวันที่ 23 มกราคม 2017

Safari

มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12.3

ผลกระทบ: การเข้าดูเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงแถบที่อยู่

คำอธิบาย: ปัญหาการจัดการสถานะในแถบที่อยู่ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการ URL ให้ดียิ่งขึ้น

CVE-2017-2359: xisigr จาก Tencent's Xuanwu Lab (tencent.com)

WebKit

มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12.3

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจลักลอบถอนข้อมูลข้ามต้นทาง

คำอธิบาย: ปัญหาการเข้าถึงต้นแบบได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการข้อยกเว้นให้ดียิ่งขึ้น

CVE-2017-2350: Gareth Heyes จาก Portswigger Web Security

WebKit

มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12.3

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-2354: Neymar จาก Tencent's Xuanwu Lab (tencent.com) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2017-2362: Ivan Fratric จาก Google Project Zero

CVE-2017-2373: Ivan Fratric จาก Google Project Zero

WebKit

มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12.3

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการเตรียมใช้งานหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-2355: Team Pangu และ Lokihardt ที่ PwnFest 2016

WebKit

มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12.3

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-2356: Team Pangu และ Lokihardt ที่ PwnFest 2016

CVE-2017-2369: Ivan Fratric จาก Google Project Zero

CVE-2017-2366: Kai Kang จาก Tencent's Xuanwu Lab (tencent.com)

WebKit

มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12.3

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจลักลอบถอนข้อมูลข้ามต้นทาง

คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับการตรวจสอบในการจัดการการโหลดหน้า ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงตรรกะให้ดียิ่งขึ้น

CVE-2017-2363: Lokihardt จาก Google Project Zero

CVE-2017-2364: Lokihardt จาก Google Project Zero

WebKit

มีให้สำหรับ: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 และ macOS Sierra 10.12.3

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจลักลอบถอนข้อมูลข้ามต้นทาง

คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการตัวแปร ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2017-2365: Lokihardt จาก Google Project Zero

คำขอบคุณพิเศษ

การฮาร์ดเดนนิ่ง WebKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Ben Gras, Kaveh Razavi, Erik Bosman, Herbert Bos และ Cristiano Giuffrida จาก VUSec Group ที่ Vrije Universiteit Amsterdam

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: