關於 Safari 11 的安全性內容

本文說明 Safari 11 的安全性內容。

關於 Apple 安全性更新

為保障客戶的安全，Apple 在進行調查並提供修補程式或版本之前，不會揭露、討論或確認安全性問題。最新版本列於「Apple 安全性更新」頁面上。

如需安全性的詳細資訊，請參閱 Apple 產品安全性頁面。您可以使用 Apple 產品安全性 PGP 金鑰來加密與 Apple 的通訊。

Apple 安全性文件會盡可能以 CVE-ID 參照安全漏洞。

Safari 11

Safari

適用於：OS X El Capitan 10.11.6、macOS Sierra 10.12.6 和 macOS High Sierra 10.13

影響：參訪惡意網站可能導致網址列詐騙攻擊

說明：改進狀態管理機制後，已解決不一致使用者介面問題。

CVE-2017-7085：騰訊玄武實驗室（tencent.com）的 xisigr

WebKit

適用於：OS X El Capitan 10.11.6、macOS Sierra 10.12.6 和 macOS High Sierra 10.13

影響：處理惡意製作的網頁內容可能導致執行任意程式碼

說明：改進輸入驗證機制後，已解決記憶體損毀問題。

CVE-2017-7081：Apple

WebKit

適用於：OS X El Capitan 10.11.6、macOS Sierra 10.12.6 和 macOS High Sierra 10.13

影響：處理惡意製作的網頁內容可能導致執行任意程式碼

說明：改進記憶體處理機制後，已解決多個記憶體損毀問題。

CVE-2017-7087：Apple

CVE-2017-7091：百度安全實驗室的 Wei Yuan（與趨勢科技的 Zero Day Initiative 計劃合作）

CVE-2017-7092：Samuel Gro 和 Niklas Baumstark（與趨勢科技的 Zero Day Initiative 計劃合作）、奇虎 360 Vulcan Team 的 Qixun Zhao（@S0rryMybad）

CVE-2017-7093：Samuel Gro 和 Niklas Baumstark（與趨勢科技的 Zero Day Initiative 計劃合作）

CVE-2017-7094：Leviathan Security Group 的 Tim Michaud（@TimGMichaud）

CVE-2017-7095：南洋理工大學的 Wang Junjie、Wei Lei 和 Liu Yang（與趨勢科技的 Zero Day Initiative 計劃合作）

CVE-2017-7096：百度安全實驗室的 Wei Yuan

CVE-2017-7098：Instituto Tecnológico de Aeronáutica 的 Felipe Freitas

CVE-2017-7099：Apple

CVE-2017-7100：Cure53 的 Masato Kinugawa 和 Mario Heiderich

CVE-2017-7102：南洋理工大學的 Wang Junjie、Wei Lei 和 Liu Yang

CVE-2017-7104：百度安全實驗室的 likemeng

CVE-2017-7107：南洋理工大學的 Wang Junjie、Wei Lei 和 Liu Yang

CVE-2017-7111：百度安全實驗室（xlab.baidu.com）的 likemeng（與趨勢科技的 Zero Day Initiative 計劃合作）

CVE-2017-7117：Google Project Zero 的 lokihardt

CVE-2017-7120：螞蟻金服巴斯光年安全實驗室的陳欽（chenqin）

WebKit

適用於：OS X El Capitan 10.11.6、macOS Sierra 10.12.6 和 macOS High Sierra 10.13

影響：處理惡意製作的網頁內容可能導致全域跨網站工序指令問題

說明：處理父標籤頁時，出現邏輯問題。改進狀態管理機制後，已解決此問題。

CVE-2017-7089：ONSEC 的 Anton Lopanitsyn、Detectify 的 Frans Rosén

WebKit

適用於：OS X El Capitan 10.11.6、macOS Sierra 10.12.6 和 macOS High Sierra 10.13

影響：屬於某個來源的 Cookie 可能會傳送至另一個來源

說明：處理網頁瀏覽器 Cookie 時，出現權限問題。不再針對自定的 URL 架構回傳 Cookie 後，已解決此問題。

CVE-2017-7090：Apple

WebKit

適用於：OS X El Capitan 10.11.6、macOS Sierra 10.12.6 和 macOS High Sierra 10.13

影響：參訪惡意網站可能導致網址列詐騙攻擊

說明：改進狀態管理機制後，已解決不一致使用者介面問題。

CVE-2017-7106：Thinking Objects GmbH（to.com）的 Oliver Paukstadt

WebKit

適用於：OS X El Capitan 10.11.6、macOS Sierra 10.12.6 和 macOS High Sierra 10.13

影響：處理惡意製作的網頁內容可能導致跨網站工序指令攻擊

說明：可能會意外套用應用程式快取規則。

CVE-2017-7109：avlidienbrunn

WebKit

適用於：OS X El Capitan 10.11.6、macOS Sierra 10.12.6 和 macOS High Sierra 10.13

影響：惡意網站可能得以在 Safari 私密瀏覽模式中追蹤使用者

說明：處理網頁瀏覽器 Cookie 時，出現權限問題。改進限制機制後，已解決此問題。

CVE-2017-7144：UIC 的 BITS 實驗室的 Mohammad Ghasemisharif

WebKit 儲存空間

適用於：OS X El Capitan 10.11.6、macOS Sierra 10.12.6 和 macOS High Sierra 10.13

影響：Safari 私密瀏覽連線結束後網站資料可能仍存在

說明：在 Safari 私密瀏覽視窗中處理網站資料時，出現資訊外洩問題。改進資料處理機制後，已解決此問題。

CVE-2017-7142：Rich Shawn O’Connell、匿名研究員、匿名研究員

特別鳴謝

WebKit

我們要感謝騰訊玄武實驗室（tencent.com）的 xisigr 提供協助。

WebKit

我們要感謝 The City School PAF Chapter 的 Rayyan Bijoora（@Bijoora）提供協助。

WebKit

我們要感謝 redrain（360CERT 的 hongyu）提供協助。

WebKit 全螢幕

我們要感謝騰訊玄武實驗室（tencent.com）的 xisigr 提供協助。