Safari 10.1'in güvenlik içeriği hakkında
Bu belgede Safari 10.1'in güvenlik içeriği açıklanmaktadır.
Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın. Apple ile iletişimlerinizi Apple Ürün Güvenliği PGP Anahtarını kullanarak şifreleyebilirsiniz.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Safari 10.1
CoreGraphics
İlgili sürümler: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ve macOS Sierra 10.12.4
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2017-2444: 360 GearTeam'den Mei Wang
JavaScriptCore
İlgili sürümler: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ve macOS Sierra 10.12.4
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2017-2491: Apple
JavaScriptCore
İlgili sürümler: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ve macOS Sierra 10.12.4
Etki: Kötü amaçlarla oluşturulmuş web sayfasının işlenmesi siteler arası evrensel komut dosyası kullanımına neden olabilir
Açıklama: İşlem mantığı iyileştirilerek prototip sorunu giderildi.
CVE-2017-2492: Google Project Zero'dan lokihardt
Safari
İlgili sürümler: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ve macOS Sierra 10.12.4
Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi adres çubuğu sahteciliğine neden olabilir
Açıklama: Hedef sayfa yüklenene kadar metin girişi devre dışı bırakılarak bir durum yönetimi sorunu giderildi.
CVE-2017-2376: anonim bir araştırmacı, Google Inc.'den Chris Hlady, Tencent Güvenlik Platformu Departmanı'ndan (security.tencent.com) Yuyang Zhou, Recruit Technologies Co., Ltd.'den Muneaki Nishimura (nishimunea), Google Inc.'den Michal Zalewski ve anonim bir araştırmacı
Safari
İlgili sürümler: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ve macOS Sierra 10.12.4
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele web siteleri üzerinden kimlik doğrulama sayfaları getirebilir
Açıklama: HTTP kimlik doğrulamasının işlenmesinde sahtecilik ve servis reddi sorunu vardı. HTTP kimlik doğrulama sayfaları kalıcı olmaktan çıkarılarak bu sorun giderildi.
CVE-2017-2389: Tencent Güvenlik Müdahale Merkezi'nden (TSRC) ShenYeYinJiu
Safari
İlgili sürümler: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ve macOS Sierra 10.12.4
Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin bir bağlantıyı tıklayarak ziyaret edilmesi, kullanıcı arabirimi sahteciliğine neden olabilir
Açıklama: FaceTime istemlerinin işlenmesinde bir sahtecilik sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2017-2453: Tencent Xuanwu Lab'den (tencent.com) xisigr
Safari'de Oturum Açma Sırasında Otomatik Doldurma
İlgili sürümler: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ve macOS Sierra 10.12.4
Etki: Yerel konumdaki bir kullanıcı, kilitli anahtar zinciri öğelerine erişebilir
Açıklama: Anahtar zinciri öğe yönetimi iyileştirilerek bir anahtar zinciri işleme sorunu giderildi.
CVE-2017-2385: MedStack'ten Simon Woodside
WebKit
İlgili sürümler: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ve macOS Sierra 10.12.4
Etki: Kötü amaçlarla oluşturulmuş bir bağlantının sürüklenip bırakılması yer işareti sahteciliğine veya rastgele kod yürütülmesine neden olabilir
Açıklama: Yer işareti oluşturmada doğrulama sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2017-2378: Tencent Xuanwu Lab'den (tencent.com) xisigr
WebKit
İlgili sürümler: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ve macOS Sierra 10.12.4
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, kaynaklar arasında veri sızdırabilir
Açıklama: İstisnaların işlenmesi iyileştirilerek bir prototip erişim sorunu giderildi.
CVE-2017-2386: André Bargull
WebKit
İlgili sürümler: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ve macOS Sierra 10.12.4
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2017-2394: Apple
CVE-2017-2396: Apple
CVE-2016-9642: Gustavo Grieco
WebKit
İlgili sürümler: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ve macOS Sierra 10.12.4
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2017-2395: Apple
CVE-2017-2454: Google Project Zero'dan Ivan Fratric, Trend Micro'nun Zero Day Initiative programında çalışan, Baidu Security Lab'den Zheng Huang
CVE-2017-2455: Google Project Zero'dan Ivan Fratric
CVE-2017-2459: Google Project Zero'dan Ivan Fratric
CVE-2017-2460: Google Project Zero'dan Ivan Fratric
CVE-2017-2464: Google Project Zero'dan natashenka, Jeonghoon Shin
CVE-2017-2465: Baidu Security Lab'den Zheng Huang ve Wei Yuan
CVE-2017-2466: Google Project Zero'dan Ivan Fratric
CVE-2017-2468: Google Project Zero'dan lokihardt
CVE-2017-2469: Google Project Zero'dan lokihardt
CVE-2017-2470: Google Project Zero'dan lokihardt
CVE-2017-2476: Google Project Zero'dan Ivan Fratric
CVE-2017-2481: 0011 (Trend Micro'nun Zero Day Initiative programıyla)
WebKit
İlgili sürümler: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ve macOS Sierra 10.12.4
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.
CVE-2017-2415: Tencent Xuanwu Lab'den (tentcent.com) Kai Kang
WebKit
İlgili sürümler: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ve macOS Sierra 10.12.4
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi İçerik Güvenliği Politikası'nın uygulanmasının beklenmedik bir şekilde sonlandırılmasına neden olabilir
Açıklama: İçerik Güvenliği Politikası'nda erişim sorunu vardı. Erişim sınırlamaları iyileştirilerek bu sorun giderildi.
CVE-2017-2419: Cisco Systems'dan Nicolai Grødum
WebKit
İlgili sürümler: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ve macOS Sierra 10.12.4
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi yüksek düzeyde bellek tüketimine neden olabilir
Açıklama: Regex (normal ifade) işlemesi iyileştirilerek bir denetimsiz kaynak tüketimi sorunu giderildi.
CVE-2016-9643: Gustavo Grieco
WebKit
İlgili sürümler: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ve macOS Sierra 10.12.4
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: OpenGL gölgelendiricilerin işlenmesinde bilgilerin açığa çıkması sorunu vardı. Bellek yönetimi iyileştirilerek bu sorun giderildi.
CVE-2017-2424: Imperial College London'daki Multicore Programming Group'tan Paul Thomson (GLFuzz aracıyla)
WebKit
İlgili sürümler: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ve macOS Sierra 10.12.4
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2017-2433: Apple
WebKit
İlgili sürümler: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ve macOS Sierra 10.12.4
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, kaynaklar arasında veri sızdırabilir
Açıklama: Sayfa yüklemesinin işlenmesinde birden çok doğrulama sorunu vardı. İşlem mantığı iyileştirilerek bu sorun giderildi.
CVE-2017-2364: Google Project Zero'dan lokihardt
WebKit
İlgili sürümler: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ve macOS Sierra 10.12.4
Etki: Kötü amaçlarla oluşturulmuş bir web sitesi kaynaklar arasında veri sızdırabilir
Açıklama: Sayfa yüklemesinin işlenmesinde doğrulama sorunu vardı. İşlem mantığı iyileştirilerek bu sorun giderildi.
CVE-2017-2367: Google Project Zero'dan lokihardt
WebKit
İlgili sürümler: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ve macOS Sierra 10.12.4
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası evrensel betik kullanımına neden olabilir
Açıklama: Çerçeve nesnelerinin işlenmesinde mantık sorunu vardı. Durum yönetimi iyileştirilerek bu sorun giderildi.
CVE-2017-2445: Google Project Zero'dan lokihardt
WebKit
İlgili sürümler: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ve macOS Sierra 10.12.4
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Katı mod işlevlerinin işlenmesinde mantık sorunu vardı. Durum yönetimi iyileştirilerek bu sorun giderildi.
CVE-2017-2446: Google Project Zero'dan natashenka
WebKit
İlgili sürümler: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ve macOS Sierra 10.12.4
Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi, kullanıcı bilgilerini tehlikeye atabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2017-2447: Google Project Zero'dan natashenka
WebKit
İlgili sürümler: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ve macOS Sierra 10.12.4
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2017-2463: Tencent Xuanwu Lab'den (tencent.com) Kai Kang (4B5F5F4B) (Trend Micro'nun Zero Day Initiative programıyla)
WebKit
İlgili sürümler: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ve macOS Sierra 10.12.4
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2017-2471: Google Project Zero'dan Ivan Fratric
WebKit
İlgili sürümler: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ve macOS Sierra 10.12.4
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası evrensel betik kullanımına neden olabilir
Açıklama: Çerçeve işlemesinde mantık sorunu vardı. Durum yönetimi iyileştirilerek bu sorun giderildi.
CVE-2017-2475: Google Project Zero'dan lokihardt
WebKit
İlgili sürümler: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ve macOS Sierra 10.12.4
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, kaynaklar arasında veri sızdırabilir
Açıklama: Öğe işlemesinde doğrulama sorunu vardı. Doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2017-2479: Google Project Zero'dan lokihardt
WebKit
İlgili sürümler: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ve macOS Sierra 10.12.4
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, kaynaklar arasında veri sızdırabilir
Açıklama: Öğe işlemesinde doğrulama sorunu vardı. Doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2017-2480: Google Project Zero'dan lokihardt
CVE-2017-2493: Google Project Zero'dan lokihardt
WebKit
İlgili sürümler: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ve macOS Sierra 10.12.4
Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi adres çubuğu sahteciliğine neden olabilir
Açıklama: Durum yönetimi iyileştirilerek tutarsız kullanıcı arabirimi sorunu giderildi.
CVE-2017-2486: anonim bir araştırmacı
WebKit
İlgili sürümler: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ve macOS Sierra 10.12.4
Etki: Bir uygulama rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2017-2392: Lookout'tan Max Bazaliy
WebKit
İlgili sürümler: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ve macOS Sierra 10.12.4
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2017-2457: Google Project Zero'dan lokihardt
WebKit
İlgili sürümler: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ve macOS Sierra 10.12.4
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek birden fazla bellek bozulması sorunu giderildi.
CVE-2017-7071: Tencent Xuanwu Lab'den (tencent.com) Kai Kang (4B5F5F4B) (Trend Micro'nun Zero Day Initiative programıyla)
WebKit JavaScript Bağları
İlgili sürümler: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ve macOS Sierra 10.12.4
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, kaynaklar arasında veri sızdırabilir
Açıklama: Sayfa yüklemesinin işlenmesinde birden çok doğrulama sorunu vardı. İşlem mantığı iyileştirilerek bu sorun giderildi.
CVE-2017-2442: Google Project Zero'dan lokihardt
WebKit Web Denetleyicisi
İlgili sürümler: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ve macOS Sierra 10.12.4
Etki: Bir pencerenin hata ayıklayıcıda duraklatılmışken kapatılması uygulamanın beklenmedik bir şekilde sonlandırılmasına neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2017-2377: Vicki Pfau
WebKit Web Denetleyicisi
İlgili sürümler: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ve macOS Sierra 10.12.4
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2017-2405: Apple
Ek teşekkür listesi
Safari
Flyin9'a (ZhenHui Lee) desteği için teşekkür ederiz.
Webkit
Secure Sky Technology Inc. şirketinden Yosuke HASEGAWA'ya desteği için teşekkür ederiz.
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.