關於 Apple 安全性更新
為保障顧客的安全,在完成調查並提供修補程式或更新版本之前,Apple 將不會披露、討論或確認安全性問題。最近更新版本已列於 Apple 安全性更新網頁。
有關安全性的詳情,請參閱 Apple 產品安全性網頁。你可使用 Apple 產品安全性 PGP 金鑰來加密與 Apple 的通訊。
Apple 安全性文件會盡可能以 CVE-ID 參照安全漏洞。
Safari 10.1
2017 年 3 月 27 日發佈
CoreGraphics
適用於:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4
影響:處理惡意製作的網頁內容可能導致執行任意程式碼
說明:改進輸入驗證機制後,已解決多個記憶體損毀問題。
CVE-2017-2444:360 GearTeam 的 Mei Wang
JavaScriptCore
適用於:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4
影響:處理惡意製作的網頁內容可能導致執行任意程式碼
說明:改進記憶體管理機制後,已解決「使用釋放後記憶體出錯」問題。
CVE-2017-2491:Apple
2017 年 5 月 2 日新增項目
JavaScriptCore
適用於:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4
影響:處理惡意製作的網頁可能導致全域跨網站工序指令問題
說明:改進邏輯機制後,已解決原型問題。
CVE-2017-2492:Google Project Zero 的 lokihardt
2017 年 4 月 24 日更新項目
Safari
適用於:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4
影響:瀏覽惡意網站可能導致網址列詐騙攻擊
說明:透過在目標網頁載入之前停用文字輸入,解決狀態管理問題。
CVE-2017-2376:匿名研究員、Google Inc 的 Chris Hlady、騰訊安全平台部 (security.tencent.com) 的 Yuyang Zhou、Recruit Technologies Co., Ltd. 的 Muneaki Nishimura (nishimunea)、Google Inc 的 Michal Zalewski、匿名研究員
Safari
適用於:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4
影響:處理惡意製作的網頁內容可能導致在任意網站顯示認證工作表
說明:處理 HTTP 認證時,出現詐騙攻擊與阻斷服務問題。將 HTTP 認證工作表改為非模式後,已解決此問題。
CVE-2017-2389:騰訊安全應急響應中心 (TSRC) 的 ShenYeYinJiu
Safari
適用於:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4
影響:透過點擊連結來瀏覽惡意網站,可能導致使用者介面詐騙攻擊
說明:處理 FaceTime 提示時,出現詐騙攻擊問題。改進輸入驗證機制後,已解決此問題。
CVE-2017-2453:騰訊玄武實驗室 (tencent.com) 的 xisigr
Safari 登入自動填寫
適用於:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4
影響:本機用戶可能得以存取鎖定的鑰匙圈項目
說明:改進鑰匙圈項目管理機制後,已解決鑰匙圈處理問題。
CVE-2017-2385:MedStack 的 Simon Woodside
WebKit
適用於:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4
影響:拖放惡意製作的連結可能導致書籤詐騙攻擊或執行任意程式碼
說明:製作書籤時,出現驗證問題。改進輸入驗證機制後,已解決此問題。
CVE-2017-2378:騰訊玄武實驗室 (tencent.com) 的 xisigr
WebKit
適用於:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4
影響:處理惡意製作的網頁內容可能會跨來源洩漏資料
說明:改進例外處理機制後,已解決原型存取問題。
CVE-2017-2386:André Bargull
WebKit
適用於:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4
影響:處理惡意製作的網頁內容可能導致執行任意程式碼
說明:改進輸入驗證機制後,已解決多個記憶體損毀問題。
CVE-2017-2394:Apple
CVE-2017-2396:Apple
CVE-2016-9642:Gustavo Grieco
WebKit
適用於:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4
影響:處理惡意製作的網頁內容可能導致執行任意程式碼
說明:改進記憶體處理機制後,已解決多個記憶體損毀問題。
CVE-2017-2395:Apple
CVE-2017-2454:Google Project Zero 的 Ivan Fratric、百度安全實驗室的 Zheng Huang (與趨勢科技的 Zero Day Initiative 計劃合作)
CVE-2017-2455:Google Project Zero 的 Ivan Fratric
CVE-2017-2459:Google Project Zero 的 Ivan Fratric
CVE-2017-2460:Google Project Zero 的 Ivan Fratric
CVE-2017-2464:Jeonghoon Shin、Google Project Zero 的 natashenka
CVE-2017-2465:百度安全實驗室的 Zheng Huang 和 Wei Yuan
CVE-2017-2466:Google Project Zero 的 Ivan Fratric
CVE-2017-2468:Google Project Zero 的 lokihardt
CVE-2017-2469:Google Project Zero 的 lokihardt
CVE-2017-2470:Google Project Zero 的 lokihardt
CVE-2017-2476:Google Project Zero 的 Ivan Fratric
CVE-2017-2481:0011 (與趨勢科技的 Zero Day Initiative 計劃合作)
2017 年 6 月 20 日更新項目
WebKit
適用於:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4
影響:處理惡意製作的網頁內容可能導致執行任意程式碼
說明:改進記憶體處理機制後,已解決類型混淆問題。
CVE-2017-2415:騰訊玄武實驗室 (tencent.com) 的 Kai Kang
WebKit
適用於:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4
影響:處理惡意製作的網頁內容可能導致意外地未有實施內容保安規則
說明:「內容保安政策」出現存取問題。改進存取限制機制後,已解決此問題。
CVE-2017-2419:Cisco Systems 的 Nicolai Grødum
WebKit
適用於:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4
影響:處理惡意製作的網頁內容可能導致大量耗用記憶體
說明:改進 regex 處理機制後,已解決資源耗用不受控制的問題。
CVE-2016-9643:Gustavo Grieco
WebKit
適用於:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4
影響:處理惡意製作的網頁內容可能導致程序記憶體內容洩漏
說明:處理 OpenGL 著色器時,出現資料洩露問題。改進記憶體管理機制後,已解決此問題。
CVE-2017-2424:倫敦帝國學院 Multicore Programming Group 的 Paul Thomson (使用 GLFuzz 工具)
WebKit
適用於:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4
影響:處理惡意製作的網頁內容可能導致執行任意程式碼
說明:改進輸入驗證機制後,已解決記憶體損毀問題。
CVE-2017-2433:Apple
WebKit
適用於:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4
影響:處理惡意製作的網頁內容可能會跨來源洩漏資料
說明:處理頁面載入時,出現多個驗證問題。改進邏輯機制後,已解決此問題。
CVE-2017-2364:Google Project Zero 的 lokihardt
WebKit
適用於:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4
影響:惡意網站可能跨來源洩漏資料
說明:處理頁面載入時,出現驗證問題。改進邏輯機制後,已解決此問題。
CVE-2017-2367:Google Project Zero 的 lokihardt
WebKit
適用於:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4
影響:處理惡意製作的網頁內容可能導致全域跨網站工序指令問題
說明:處理框架物件時,出現邏輯問題。改進狀態管理機制後,已解決此問題。
CVE-2017-2445:Google Project Zero 的 lokihardt
WebKit
適用於:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4
影響:處理惡意製作的網頁內容可能導致執行任意程式碼
說明:處理嚴格模式函數時,出現邏輯問題。改進狀態管理機制後,已解決此問題。
CVE-2017-2446:Google Project Zero 的 natashenka
WebKit
適用於:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4
影響:造訪惡意網站可能會危害用戶資料
說明:改進記憶體處理機制後,已解決記憶體損毀問題。
CVE-2017-2447:Google Project Zero 的 natashenka
WebKit
適用於:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4
影響:處理惡意製作的網頁內容可能導致執行任意程式碼
說明:改進記憶體處理機制後,已解決多個記憶體損毀問題。
CVE-2017-2463:騰訊玄武實驗室 (tencent.com) 的 Kai Kang (4B5F5F4B) (與趨勢科技的 Zero Day Initiative 計劃合作)
2017 年 3 月 28 日新增項目
WebKit
適用於:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4
影響:處理惡意製作的網頁內容可能導致執行任意程式碼
說明:改進記憶體管理機制後,已解決「使用釋放後記憶體出錯」問題。
CVE-2017-2471:Google Project Zero 的 Ivan Fratric
WebKit
適用於:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4
影響:處理惡意製作的網頁內容可能導致全域跨網站工序指令問題
說明:處理框架時,出現邏輯問題。改進狀態管理機制後,已解決此問題。
CVE-2017-2475:Google Project Zero 的 lokihardt
WebKit
適用於:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4
影響:處理惡意製作的網頁內容可能會跨來源洩漏資料
說明:處理元件時,出現驗證問題。改進驗證機制後,已解決此問題。
CVE-2017-2479:Google Project Zero 的 lokihardt
2017 年 3 月 28 日新增項目
WebKit
適用於:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4
影響:處理惡意製作的網頁內容可能會跨來源洩漏資料
說明:處理元件時,出現驗證問題。改進驗證機制後,已解決此問題。
CVE-2017-2480:Google Project Zero 的 lokihardt
CVE-2017-2493:Google Project Zero 的 lokihardt
2017 年 4 月 24 日更新項目
WebKit
適用於:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4
影響:瀏覽惡意網站可能導致網址列詐騙攻擊
說明:改進狀態管理機制後,已解決使用者介面不一致的問題。
CVE-2017-2486:匿名研究員
2017 年 3 月 30 日新增項目
WebKit
適用於:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4
影響:應用程式可能得以執行任意程式碼
說明:改進記憶體處理機制後,已解決記憶體損毀問題。
CVE-2017-2392:Lookout 的 Max Bazaliy
2017 年 3 月 30 日新增項目
WebKit
適用於:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4
影響:處理惡意製作的網頁內容可能導致執行任意程式碼
說明:改進記憶體處理機制後,已解決多個記憶體損毀問題。
CVE-2017-2457:Google Project Zero 的 lokihardt
2017 年 3 月 30 日新增項目
WebKit
適用於:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4
影響:處理惡意製作的網頁內容可能導致執行任意程式碼
說明:改進記憶體處理機制後,已解決多個記憶體損毀問題。
CVE-2017-7071:騰訊玄武實驗室 (tencent.com) 的 Kai Kang (4B5F5F4B) (與趨勢科技的 Zero Day Initiative 計劃合作)
2017 年 8 月 23 日新增項目
WebKit JavaScript 綁定
適用於:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4
影響:處理惡意製作的網頁內容可能會跨來源洩漏資料
說明:處理頁面載入時,出現多個驗證問題。改進邏輯機制後,已解決此問題。
CVE-2017-2442:Google Project Zero 的 lokihardt
WebKit 網頁檢查器
適用於:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4
影響:除錯器暫停時關閉視窗可能導致 app 意外終止
說明:改進輸入驗證機制後,已解決記憶體損毀問題。
CVE-2017-2377:Vicki Pfau
WebKit 網頁檢查器
適用於:OS X Yosemite v10.10.5、OS X El Capitan v10.11.6 和 macOS Sierra 10.12.4
影響:處理惡意製作的網頁內容可能導致執行任意程式碼
說明:改進輸入驗證機制後,已解決記憶體損毀問題。
CVE-2017-2405:Apple
特別鳴謝
Safari
我們特此感謝 Flyin9 (ZhenHui Lee) 提供協助。
WebKit
我們特此感謝 Secure Sky Technology Inc. 的 Yosuke HASEGAWA 提供協助。