เกี่ยวกับเนื้อหาความปลอดภัยของ Safari 11

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ Safari 11

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

Safari 11

เปิดตัวเมื่อวันที่ 19 กันยายน 2017

Safari

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 และ macOS High Sierra 10.13

ผลกระทบ: การเข้าชมเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงแถบที่อยู่

คำอธิบาย: ปัญหาอินเทอร์เฟซผู้ใช้ไม่สอดคล้องได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2017-7085: xisigr จาก Tencent's Xuanwu Lab (tencent.com)

WebKit

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 และ macOS High Sierra 10.13

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-7081: Apple

เพิ่มรายการเมื่อวันที่ 25 กันยายน 2017

WebKit

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 และ macOS High Sierra 10.13

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7087: Apple

CVE-2017-7091: Wei Yuan จาก Baidu Security Lab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2017-7092: Samuel Gro และ Niklas Baumstark ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro, Qixun Zhao (@S0rryMybad) จาก Qihoo 360 Vulcan Team

CVE-2017-7093: Samuel Gro และ Niklas Baumstark ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2017-7094: Tim Michaud (@TimGMichaud) จาก Leviathan Security Group

CVE-2017-7095: Wang Junjie, Wei Lei และ Liu Yang จาก Nanyang Technological University ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2017-7096: Wei Yuan จาก Baidu Security Lab

CVE-2017-7098: Felipe Freitas จาก Instituto Tecnológico de Aeronáutica

CVE-2017-7099: Apple

CVE-2017-7100: Masato Kinugawa และ Mario Heiderich จาก Cure53

CVE-2017-7102: Wang Junjie, Wei Lei และ Liu Yang จาก Nanyang Technological University

CVE-2017-7104: likemeng จาก Baidu Secutity Lab

CVE-2017-7107: Wang Junjie, Wei Lei และ Liu Yang จาก Nanyang Technological University

CVE-2017-7111: likemeng จาก Baidu Security Lab (xlab.baidu.com) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2017-7117: lokihardt จาก Google Project Zero

CVE-2017-7120: chenqin (陈钦) จาก Ant-financial Light-Year Security Lab

เพิ่มรายการเมื่อวันที่ 25 กันยายน 2017

WebKit

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 และ macOS High Sierra 10.13

ผลกระทบ: การประมวลผลเว็บคอนเทนต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งลิงก์ฝังสคริปต์ไปยังไซต์อื่นทั้งระบบ (Cross-site Scripting) ได้

คำอธิบาย: มีปัญหาตรรกะในการจัดการแท็บหลัก ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2017-7089: Anton Lopanitsyn จาก ONSEC, Frans Rosén จาก Detectify

WebKit

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 และ macOS High Sierra 10.13

ผลกระทบ: คุกกี้ที่เป็นของต้นทางหนึ่งอาจถูกส่งไปที่ต้นทางอื่น

คำอธิบาย: มีปัญหาสิทธิ์อนุญาตในการจัดการคุกกี้ของเว็บเบราเซอร์ ปัญหานี้ได้รับการแก้ไขแล้วโดยการไม่ส่งคืนคุกกี้สำหรับรูปแบบ URL ที่กำหนดเองอีกต่อไป

CVE-2017-7090: Apple

เพิ่มรายการเมื่อวันที่ 25 กันยายน 2017

WebKit

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 และ macOS High Sierra 10.13

ผลกระทบ: การเข้าชมเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงแถบที่อยู่

คำอธิบาย: ปัญหาอินเทอร์เฟซผู้ใช้ไม่สอดคล้องได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2017-7106: Oliver Paukstadt จาก Thinking Objects GmbH (to.com)

WebKit

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 และ macOS High Sierra 10.13

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการโจมตีแบบส่งลิงก์ฝังสคริปต์ให้ไปยังไซต์อื่น

คำอธิบาย: นโยบายการแคชแอพพลิเคชั่นอาจมีการปรับใช้อย่างไม่คาดคิด

CVE-2017-7109: avlidienbrunn

เพิ่มรายการเมื่อวันที่ 25 กันยายน 2017

WebKit

มีให้สำหรับ: OS X El Capitan 10.11.6 และ macOS Sierra 10.12.6, macOS High Sierra 10.13

ผลกระทบ: เว็บไซต์ที่เป็นอันตรายอาจสามารถติดตามผู้ใช้ในโหมดการเลือกชมแบบส่วนตัวของ Safari ได้

คำอธิบาย: มีปัญหาสิทธิ์อนุญาตในการจัดการคุกกี้ของเว็บเบราเซอร์ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น

CVE-2017-7144: Mohammad Ghasemisharif จาก BITS Lab ของ UIC

อัพเดทรายการเมื่อวันที่ 9 ตุลาคม 2017

WebKit Storage

มีให้สำหรับ: OS X El Capitan 10.11.6 และ macOS Sierra 10.12.6, macOS High Sierra 10.13

ผลกระทบ: ข้อมูลเว็บไซต์อาจยังคงอยู่หลังจากเซสชั่นการเลือกชมแบบส่วนตัวของ Safari สิ้นสุด

คำอธิบาย: มีปัญหาการรั่วไหลของข้อมูลในการจัดการข้อมูลเว็บไซต์ในหน้าต่างแบบส่วนตัวของ Safari ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการข้อมูลให้ดียิ่งขึ้น

CVE-2017-7142: Rich Shawn O’Connell, นักวิจัยนิรนาม, นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 25 กันยายน 2017 อัพเดทรายการเมื่อวันที่ 10 พฤศจิกายน 2017

คำขอบคุณพิเศษ

WebKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก xisigr จาก Tencent's Xuanwu Lab (tencent.com)

WebKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก Rayyan Bijoora (@Bijoora) จาก The City School, PAF Chapter

WebKit

เราขอขอบคุณสำหรับความช่วยเหลือจาก redrain (hongyu จาก 360CERT)

เพิ่มรายการเมื่อวันที่ 14 กุมภาพันธ์ 2018

WebKit แบบเต็มหน้าจอ

เราขอขอบคุณสำหรับความช่วยเหลือจาก xisigr จาก Tencent's Xuanwu Lab (tencent.com)

เพิ่มรายการเมื่อวันที่ 14 กุมภาพันธ์ 2018

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: