关于 Apple 安全性更新
为保护我们的客户,在没有进行调查并推出修补程序或发行版本之前,Apple 不会透露、讨论或确认安全性问题。“Apple 安全性更新”页面上列出了近期发布的版本。
如果需要了解有关安全性的更多信息,请参阅“Apple 产品安全性”页面。您可以使用 Apple 产品安全性 PGP 密钥对与 Apple 的通信进行加密。
如果可能,Apple 安全性文稿会引用 CVE-ID 中列出的安全漏洞。
“Safari 浏览器 11”
发布于 2017 年 9 月 19 日
“Safari 浏览器”
适用于:OS X El Capitan 10.11.6、macOS Sierra 10.12.6 和 macOS High Sierra 10.13
影响:访问恶意网站可能会导致地址栏欺诈
描述:已通过改进状态管理解决用户界面不一致问题。
CVE-2017-7085:腾讯玄武实验室 (tencent.com) 的 xisigr
WebKit
适用于:OS X El Capitan 10.11.6、macOS Sierra 10.12.6 和 macOS High Sierra 10.13
影响:处理恶意制作的 Web 内容可能会导致任意代码执行
描述:已通过改进输入验证解决内存损坏问题。
CVE-2017-7081:Apple
条目添加于 2017 年 9 月 25 日
WebKit
适用于:OS X El Capitan 10.11.6、macOS Sierra 10.12.6 和 macOS High Sierra 10.13
影响:处理恶意制作的 Web 内容可能会导致任意代码执行
描述:已通过改进内存处理解决多个内存损坏问题。
CVE-2017-7087:Apple
CVE-2017-7091:与 Trend Micro 的 Zero Day Initiative 合作的百度安全实验室的 Wei Yuan
CVE-2017-7092:与 Trend Micro 的 Zero Day Initiative 合作的 Samuel Gro 和 Niklas Baumstark、奇虎 360 Vulcan Team 的 Qixun Zhao (@S0rryMybad)
CVE-2017-7093:与 Trend Micro 的 Zero Day Initiative 合作的 Samuel Gro 和 Niklas Baumstark
CVE-2017-7094:Leviathan Security Group 的 im Michaud (@TimGMichaud)
CVE-2017-7095:与 Trend Micro 的 Zero Day Initiative 合作的南洋理工大学的 Wang Junjie、Wei Lei 和 Liu Yang
CVE-2017-7096:百度安全实验室的 Wei Yuan
CVE-2017-7098:Instituto Tecnológico de Aeronáutica 的 Felipe Freitas
CVE-2017-7099:Apple
CVE-2017-7100:Cure53 的 Masato Kinugawa 和 Mario Heiderich
CVE-2017-7102:南洋理工大学的 Wang Junjie、Wei Lei 和 Liu Yang
CVE-2017-7104:百度安全实验室的 likemeng
CVE-2017-7107:南洋理工大学的 Wang Junjie、Wei Lei 和 Liu Yang
CVE-2017-7111:与 Trend Micro 的 Zero Day Initiative 合作的百度安全实验室 (xlab.baidu.com) 的 likemeng
CVE-2017-7117:Google Project Zero 的 lokihardt
CVE-2017-7120:蚂蚁金服巴斯光年安全实验室的陈钦
条目添加于 2017 年 9 月 25 日
WebKit
适用于:OS X El Capitan 10.11.6、macOS Sierra 10.12.6 和 macOS High Sierra 10.13
影响:处理恶意制作的 Web 内容可能会导致通用跨站点脚本编写
描述:处理父标签时存在逻辑问题。已通过改进状态管理解决这个问题。
CVE-2017-7089:ONSEC 的 Anton Lopanitsyn、Detectify 的 Frans Rosén
WebKit
适用于:OS X El Capitan 10.11.6、macOS Sierra 10.12.6 和 macOS High Sierra 10.13
影响:属于某个源的 Cookie 可能会被发送至其他源
描述:处理 Web 浏览器 Cookie 时存在权限问题。已通过不再为自定 URL 方案返回 Cookie 解决这个问题。
CVE-2017-7090:Apple
条目添加于 2017 年 9 月 25 日
WebKit
适用于:OS X El Capitan 10.11.6、macOS Sierra 10.12.6 和 macOS High Sierra 10.13
影响:访问恶意网站可能会导致地址栏欺诈
描述:已通过改进状态管理解决用户界面不一致问题。
CVE-2017-7106:Thinking Objects GmbH (to.com) 的 Oliver Paukstadt
WebKit
适用于:OS X El Capitan 10.11.6、macOS Sierra 10.12.6 和 macOS High Sierra 10.13
影响:处理恶意制作的 Web 内容可能会导致跨站点脚本攻击
描述:应用程序缓存策略可能会被意外应用。
CVE-2017-7109:avlidienbrunn
条目添加于 2017 年 9 月 25 日
WebKit
适用于:OS X El Capitan 10.11.6、macOS Sierra 10.12.6、macOS High Sierra 10.13
影响:恶意网站或许能够在“Safari 浏览器”无痕浏览模式下跟踪用户
描述:处理 Web 浏览器 Cookie 时存在权限问题。已通过改进访问限制解决这个问题。
CVE-2017-7144:UIC 的 BITS Lab 的 Mohammad Ghasemisharif
条目更新于 2017 年 10 月 9 日
WebKit 储存
适用于:OS X El Capitan 10.11.6、macOS Sierra 10.12.6、macOS High Sierra 10.13
影响:“Safari 浏览器”无痕浏览会话结束后网站数据可能仍然存在
描述:处理“Safari 浏览器”无痕浏览窗口中的网站数据时存在信息泄漏问题。已通过改进数据处理解决这个问题。
CVE-2017-7142:Rich Shawn O’Connell、一位匿名研究人员、一位匿名研究人员
条目添加于 2017 年 9 月 25 日,更新于 2017 年 11 月 10 日
其他表彰
WebKit
由衷感谢腾讯玄武实验室 (tencent.com) 的 xisigr 为我们提供的帮助。
WebKit
由衷感谢 The City School PAF Chapter 的 Rayyan Bijoora (@Bijoora) 为我们提供的帮助。
WebKit
由衷感谢 redrain(360CERT 的 hongyu)为我们提供的帮助。
条目添加于 2018 年 2 月 14 日
WebKit 全屏
由衷感谢腾讯玄武实验室 (tencent.com) 的 xisigr 为我们提供的帮助。
条目添加于 2018 年 2 月 14 日