关于 Safari 浏览器 10.1 的安全性内容

本文介绍了 Safari 浏览器 10.1 的安全性内容。

关于 Apple 安全性更新

为保护我们的客户,在没有进行调查并推出修补程序或发行版本之前,Apple 不会透露、讨论或确认安全性问题。“Apple 安全性更新”页面上列出了近期发布的版本。

如果需要了解有关安全性的更多信息,请参阅“Apple 产品安全性”页面。您可以使用 Apple 产品安全性 PGP 密钥对与 Apple 的通信进行加密。

如果可能,Apple 安全性文稿会引用 CVE-ID 中列出的安全漏洞。

Safari 浏览器 10.1

发布于 2017 年 3 月 27 日

CoreGraphics

适用于:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4

影响:处理恶意制作的网页内容可能会导致任意代码执行

描述:已通过改进输入验证解决多个内存损坏问题。

CVE-2017-2444: Mei Wang of 360 GearTeam

JavaScriptCore

适用于:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4

影响:处理恶意制作的网页内容可能会导致任意代码执行

描述:已通过改进内存管理解决“释放后使用”问题。

CVE-2017-2491: Apple

条目添加于 2017 年 5 月 2 日

JavaScriptCore

适用于:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4

影响:处理恶意制作的网页可能会导致通用跨站点脚本编写

描述:已通过改进逻辑解决原型问题。

CVE-2017-2492: lokihardt of Google Project Zero

条目更新于 2017 年 4 月 24 日

Safari 浏览器

适用于:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4

影响:访问恶意网站可能会导致地址栏欺诈

描述:已通过在目标页面载入之前停用文本输入解决状态管理问题。

CVE-2017-2376: an anonymous researcher, Chris Hlady of Google Inc, Yuyang Zhou of Tencent Security Platform Department (security.tencent.com), Muneaki Nishimura (nishimunea) of Recruit Technologies Co., Ltd., Michal Zalewski of Google Inc, an anonymous researcher

Safari 浏览器

适用于:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4

影响:处理恶意制作的网页内容可能会导致通过任意网站展示认证表单

描述:处理 HTTP 认证时存在欺诈和服务遭拒问题。已通过使 HTTP 认证表单成为非模式表单解决这个问题。

CVE-2017-2389: ShenYeYinJiu of Tencent Security Response Center, TSRC

Safari 浏览器

适用于:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4

影响:通过点按链接来访问恶意网站可能会导致用户界面欺诈

描述:处理 FaceTime 通话提示时存在欺诈问题。已通过改进输入验证解决这个问题。

CVE-2017-2453: xisigr of Tencent's Xuanwu Lab (tencent.com)

Safari 浏览器登录自动填充

适用于:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4

影响:本地用户或许能够访问锁定的钥匙串项目

描述:已通过改进钥匙串项目管理解决钥匙串处理问题。

CVE-2017-2385: Simon Woodside of MedStack

WebKit

适用于:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4

影响:拖放恶意制作的链接可能会导致书签欺诈或任意代码执行

描述:创建书签时存在验证问题。已通过改进输入验证解决这个问题。

CVE-2017-2378: xisigr of Tencent's Xuanwu Lab (tencent.com)

WebKit

适用于:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4

影响:处理恶意制作的网页内容可能会导致跨源数据泄露

描述:已通过改进例外处理解决原型访问问题。

CVE-2017-2386: André Bargull

WebKit

适用于:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4

影响:处理恶意制作的网页内容可能会导致任意代码执行

描述:已通过改进输入验证解决多个内存损坏问题。

CVE-2017-2394: Apple

CVE-2017-2396: Apple

CVE-2016-9642: Gustavo Grieco

WebKit

适用于:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4

影响:处理恶意制作的网页内容可能会导致任意代码执行

描述:已通过改进内存处理解决多个内存损坏问题。

CVE-2017-2395: Apple

CVE-2017-2454: Ivan Fratric of Google Project Zero、与 Trend Micro 的 Zero Day Initiative 合作的百度安全实验室的 Zheng Huang

CVE-2017-2455: Ivan Fratric of Google Project Zero

CVE-2017-2459: Ivan Fratric of Google Project Zero

CVE-2017-2460: Ivan Fratric of Google Project Zero

CVE-2017-2464:Jeonghoon Shin,Google Project Zero 的 natashenka

CVE-2017-2465: Zheng Huang and Wei Yuan of Baidu Security Lab

CVE-2017-2466: Ivan Fratric of Google Project Zero

CVE-2017-2468: lokihardt of Google Project Zero

CVE-2017-2469: lokihardt of Google Project Zero

CVE-2017-2470: lokihardt of Google Project Zero

CVE-2017-2476: Ivan Fratric of Google Project Zero

CVE-2017-2481: 0011 working with Trend Micro's Zero Day Initiative

条目更新于 2017 年 6 月 20 日

WebKit

适用于:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4

影响:处理恶意制作的网页内容可能会导致任意代码执行

描述:已通过改进内存处理解决类型混淆问题。

CVE-2017-2415: Kai Kang of Tencent's Xuanwu Lab (tentcent.com)

WebKit

适用于:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4

影响:处理恶意制作的网页内容可能会导致内容安全策略意外地没有得到实施

描述:内容安全策略存在访问问题。已通过改进访问限制解决这个问题。

CVE-2017-2419: Nicolai Grødum of Cisco Systems

WebKit

适用于:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4

影响:处理恶意制作的网页内容可能会导致内存消耗量大

描述:已通过改进正则表达式解决不可控的资源消耗问题。

CVE-2016-9643: Gustavo Grieco

WebKit

适用于:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4

影响:处理恶意制作的网页内容可能会导致进程内存泄漏

描述:处理 OpenGL 着色器时存在信息泄露问题。已通过改进内存管理解决这个问题。

CVE-2017-2424: Paul Thomson (using the GLFuzz tool) of the Multicore Programming Group, Imperial College London

WebKit

适用于:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4

影响:处理恶意制作的网页内容可能会导致任意代码执行

描述:已通过改进输入验证解决内存损坏问题。

CVE-2017-2433: Apple

WebKit

适用于:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4

影响:处理恶意制作的网页内容可能会导致跨源数据泄露

描述:处理页面载入时存在多个验证问题。已通过改进逻辑解决这个问题。

CVE-2017-2364: lokihardt of Google Project Zero

WebKit

适用于:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4

影响:恶意网站可能会跨源泄露数据

描述:处理页面载入时存在验证问题。已通过改进逻辑解决这个问题。

CVE-2017-2367: lokihardt of Google Project Zero

WebKit

适用于:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4

影响:处理恶意制作的网页内容可能会导致通用跨站脚本攻击

描述:处理框架对象时存在逻辑问题。已通过改进状态管理解决这个问题。

CVE-2017-2445: lokihardt of Google Project Zero

WebKit

适用于:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4

影响:处理恶意制作的网页内容可能会导致任意代码执行

描述:处理严格模式函数时存在逻辑问题。已通过改进状态管理解决这个问题。

CVE-2017-2446:Google Project Zero 的 natashenka

WebKit

适用于:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4

影响:访问恶意制作的网站可能会泄露用户信息

描述:已通过改进内存处理解决内存损坏问题。

CVE-2017-2447:Google Project Zero 的 natashenka

WebKit

适用于:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4

影响:处理恶意制作的网页内容可能会导致任意代码执行

描述:已通过改进内存处理解决多个内存损坏问题。

CVE-2017-2463: Kai Kang (4B5F5F4B) of Tencent's Xuanwu Lab (tencent.com) working with Trend Micro's Zero Day Initiative

条目添加于 2017 年 3 月 28 日

WebKit

适用于:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4

影响:处理恶意制作的网页内容可能会导致任意代码执行

描述:已通过改进内存管理解决“释放后使用”问题。

CVE-2017-2471: Ivan Fratric of Google Project Zero

WebKit

适用于:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4

影响:处理恶意制作的网页内容可能会导致通用跨站脚本攻击

描述:处理框架时存在逻辑问题。已通过改进状态管理解决这个问题。

CVE-2017-2475: lokihardt of Google Project Zero

WebKit

适用于:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4

影响:处理恶意制作的网页内容可能会导致跨源数据泄露

描述:元素处理中存在验证问题。已通过改进验证解决这个问题。

CVE-2017-2479: lokihardt of Google Project Zero

条目添加于 2017 年 3 月 28 日

WebKit

适用于:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4

影响:处理恶意制作的网页内容可能会导致跨源数据泄露

描述:元素处理中存在验证问题。已通过改进验证解决这个问题。

CVE-2017-2480: lokihardt of Google Project Zero

CVE-2017-2493: lokihardt of Google Project Zero

条目更新于 2017 年 4 月 24 日

WebKit

适用于:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4

影响:访问恶意网站可能会导致地址栏欺诈

描述:已通过改进状态管理解决用户界面不一致问题。

CVE-2017-2486: an anonymous researcher

条目添加于 2017 年 3 月 30 日

WebKit

适用于:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4

影响:应用程序或许能够执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2017-2392: Max Bazaliy of Lookout

条目添加于 2017 年 3 月 30 日

WebKit

适用于:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4

影响:处理恶意制作的网页内容可能会导致任意代码执行

描述:已通过改进内存处理解决多个内存损坏问题。

CVE-2017-2457: lokihardt of Google Project Zero

条目添加于 2017 年 3 月 30 日

WebKit

适用于:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4

影响:处理恶意制作的网页内容可能会导致任意代码执行

描述:已通过改进内存处理解决多个内存损坏问题。

CVE-2017-7071: Kai Kang (4B5F5F4B) of Tencent's Xuanwu Lab (tencent.com) working with Trend Micro's Zero Day Initiative 

条目添加于 2017 年 8 月 23 日

WebKit JavaScript 绑定

适用于:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4

影响:处理恶意制作的网页内容可能会导致跨源数据泄露

描述:处理页面载入时存在多个验证问题。已通过改进逻辑解决这个问题。

CVE-2017-2442: lokihardt of Google Project Zero

WebKit 网页检查器

适用于:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4

影响:关闭已在调试器中暂停的窗口可能会导致应用程序意外终止

描述:已通过改进输入验证解决内存损坏问题。

CVE-2017-2377: Vicki Pfau

WebKit 网页检查器

适用于:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4

影响:处理恶意制作的网页内容可能会导致任意代码执行

描述:已通过改进输入验证解决内存损坏问题。

CVE-2017-2405: Apple

其他表彰

Safari 浏览器

由衷感谢 Flyin9 (ZhenHui Lee) 为我们提供的帮助。

Webkit

由衷感谢 Secure Sky Technology Inc. 的 Yosuke HASEGAWA 为我们提供的帮助。

有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。联系供应商以了解其他信息。

发布日期: