关于“Safari 浏览器 11”的安全性内容

本文介绍了“Safari 浏览器 11”的安全性内容。

关于 Apple 安全性更新

为保护我们的客户，在没有进行调查并推出修补程序或发行版本之前，Apple 不会透露、讨论或确认安全性问题。“Apple 安全性更新”页面上列出了近期发布的版本。

如果需要了解有关安全性的更多信息，请参阅“Apple 产品安全性”页面。您可以使用 Apple 产品安全性 PGP 密钥对与 Apple 的通信进行加密。

如果可能，Apple 安全性文稿会引用 CVE-ID 中列出的安全漏洞。

“Safari 浏览器 11”

“Safari 浏览器”

适用于：OS X El Capitan 10.11.6、macOS Sierra 10.12.6 和 macOS High Sierra 10.13

影响：访问恶意网站可能会导致地址栏欺诈

描述：已通过改进状态管理解决用户界面不一致问题。

CVE-2017-7085：腾讯玄武实验室 (tencent.com) 的 xisigr

WebKit

适用于：OS X El Capitan 10.11.6、macOS Sierra 10.12.6 和 macOS High Sierra 10.13

影响：处理恶意制作的 Web 内容可能会导致任意代码执行

描述：已通过改进输入验证解决内存损坏问题。

CVE-2017-7081：Apple

WebKit

适用于：OS X El Capitan 10.11.6、macOS Sierra 10.12.6 和 macOS High Sierra 10.13

影响：处理恶意制作的 Web 内容可能会导致任意代码执行

描述：已通过改进内存处理解决多个内存损坏问题。

CVE-2017-7087：Apple

CVE-2017-7091：与 Trend Micro 的 Zero Day Initiative 合作的百度安全实验室的 Wei Yuan

CVE-2017-7092：与 Trend Micro 的 Zero Day Initiative 合作的 Samuel Gro 和 Niklas Baumstark、奇虎 360 Vulcan Team 的 Qixun Zhao (@S0rryMybad)

CVE-2017-7093：与 Trend Micro 的 Zero Day Initiative 合作的 Samuel Gro 和 Niklas Baumstark

CVE-2017-7094：Leviathan Security Group 的 im Michaud (@TimGMichaud)

CVE-2017-7095：与 Trend Micro 的 Zero Day Initiative 合作的南洋理工大学的 Wang Junjie、Wei Lei 和 Liu Yang

CVE-2017-7096：百度安全实验室的 Wei Yuan

CVE-2017-7098：Instituto Tecnológico de Aeronáutica 的 Felipe Freitas

CVE-2017-7099：Apple

CVE-2017-7100：Cure53 的 Masato Kinugawa 和 Mario Heiderich

CVE-2017-7102：南洋理工大学的 Wang Junjie、Wei Lei 和 Liu Yang

CVE-2017-7104：百度安全实验室的 likemeng

CVE-2017-7107：南洋理工大学的 Wang Junjie、Wei Lei 和 Liu Yang

CVE-2017-7111：与 Trend Micro 的 Zero Day Initiative 合作的百度安全实验室 (xlab.baidu.com) 的 likemeng

CVE-2017-7117：Google Project Zero 的 lokihardt

CVE-2017-7120：蚂蚁金服巴斯光年安全实验室的陈钦

WebKit

适用于：OS X El Capitan 10.11.6、macOS Sierra 10.12.6 和 macOS High Sierra 10.13

影响：处理恶意制作的 Web 内容可能会导致通用跨站点脚本编写

描述：处理父标签时存在逻辑问题。已通过改进状态管理解决这个问题。

CVE-2017-7089：ONSEC 的 Anton Lopanitsyn、Detectify 的 Frans Rosén

WebKit

适用于：OS X El Capitan 10.11.6、macOS Sierra 10.12.6 和 macOS High Sierra 10.13

影响：属于某个源的 Cookie 可能会被发送至其他源

描述：处理 Web 浏览器 Cookie 时存在权限问题。已通过不再为自定 URL 方案返回 Cookie 解决这个问题。

CVE-2017-7090：Apple

WebKit

适用于：OS X El Capitan 10.11.6、macOS Sierra 10.12.6 和 macOS High Sierra 10.13

影响：访问恶意网站可能会导致地址栏欺诈

描述：已通过改进状态管理解决用户界面不一致问题。

CVE-2017-7106：Thinking Objects GmbH (to.com) 的 Oliver Paukstadt

WebKit

适用于：OS X El Capitan 10.11.6、macOS Sierra 10.12.6 和 macOS High Sierra 10.13

影响：处理恶意制作的 Web 内容可能会导致跨站点脚本攻击

描述：应用程序缓存策略可能会被意外应用。

CVE-2017-7109：avlidienbrunn

WebKit

适用于：OS X El Capitan 10.11.6、macOS Sierra 10.12.6、macOS High Sierra 10.13

影响：恶意网站或许能够在“Safari 浏览器”无痕浏览模式下跟踪用户

描述：处理 Web 浏览器 Cookie 时存在权限问题。已通过改进访问限制解决这个问题。

CVE-2017-7144：UIC 的 BITS Lab 的 Mohammad Ghasemisharif

WebKit 储存

适用于：OS X El Capitan 10.11.6、macOS Sierra 10.12.6、macOS High Sierra 10.13

影响：“Safari 浏览器”无痕浏览会话结束后网站数据可能仍然存在

描述：处理“Safari 浏览器”无痕浏览窗口中的网站数据时存在信息泄漏问题。已通过改进数据处理解决这个问题。

CVE-2017-7142：Rich Shawn O’Connell、一位匿名研究人员、一位匿名研究人员

其他表彰

WebKit

由衷感谢腾讯玄武实验室 (tencent.com) 的 xisigr 为我们提供的帮助。

WebKit

由衷感谢 The City School PAF Chapter 的 Rayyan Bijoora (@Bijoora) 为我们提供的帮助。

WebKit

由衷感谢 redrain（360CERT 的 hongyu）为我们提供的帮助。

WebKit 全屏

由衷感谢腾讯玄武实验室 (tencent.com) 的 xisigr 为我们提供的帮助。