Informationen zum Sicherheitsinhalt von Safari 10.1.1
In diesem Dokument wird der Sicherheitsinhalt von Safari 10.1.1 beschrieben.
Informationen zu Apple-Sicherheitsupdates
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.
Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Apple-Produktsicherheit. Ihre Kommunikation mit Apple können Sie mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.
Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.
Safari 10.1.1
JavaScriptCore
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.5
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Programmabbruch oder der Ausführung willkürlichen Codes führen.
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-7005: lokihardt von Google Project Zero
Safari
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.5
Auswirkung: Das Aufrufen einer in böser Absicht erstellten Website kann zu einem Denial-of-Service des Programms führen.
Beschreibung: In Safari wurde ein Problem im Menü "Verlauf" durch eine verbesserte Speicherverarbeitung behoben.
CVE-2017-2495: Tubasa Iinuma (@llamakko_cafe) von Gehirn Inc.
Safari
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.5
Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu URL-Spoofing führen.
Beschreibung: Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2017-2500: Zhiyang Zeng und Yuyang Zhou vom Tencent Security Platform Department
CVE-2017-2511: Zhiyang Zeng vom Tencent Security Platform Department
WebKit
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.5
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen.
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2496: Apple
CVE-2017-2505: lokihardt von Google Project Zero
CVE-2017-2506: Zheng Huang vom Baidu Security Lab in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2017-2514: lokihardt von Google Project Zero
CVE-2017-2515: lokihardt von Google Project Zero
CVE-2017-2521: lokihardt von Google Project Zero
CVE-2017-2525: Kai Kang (4B5F5F4B) von Tencents Xuanwu Lab (tencent.com) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2017-2526: Kai Kang (4B5F5F4B) von Tencents Xuanwu Lab (tencent.com) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2017-2530: Wei Yuan vom Baidu Security Lab, Zheng Huang vom Baidu Security Lab in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2017-2531: lokihardt von Google Project Zero
CVE-2017-2538: Richard Zhu (fluorescence) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2017-2539: Richard Zhu (fluorescence) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2017-2544: 360 Security (@mj0011sec) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2017-2547: lokihardt von Google Project Zero, Team Sniper (Keen Lab und PC Mgr) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2017-6980: lokihardt von Google Project Zero
CVE-2017-6984: lokihardt von Google Project Zero
WebKit
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.5
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen.
Beschreibung: Beim Aufrufen von WebKit Editor-Befehlen kam es zu einem Logikproblem. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2017-2504: lokihardt von Google Project Zero
WebKit
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.5
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen.
Beschreibung: Bei der Verarbeitung von WebKit Container-Knoten kam es zu einem Logikproblem. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2017-2508: lokihardt von Google Project Zero
WebKit
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.5
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen.
Beschreibung: Bei der Verarbeitung von Pageshow-Events kam es zu einem Logikproblem. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2017-2510: lokihardt von Google Project Zero
WebKit
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.5
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen.
Beschreibung: Bei der Verarbeitung von WebKit Frames im Cache kam es zu einem Logikfehler. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2017-2528: lokihardt von Google Project Zero
WebKit
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.5
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen.
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2536: Samuel Groß und Niklas Baumstark in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
WebKit
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.5
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen.
Beschreibung: Beim Laden des Frame bestand ein Logikproblem. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2017-2549: lokihardt von Google Project Zero
WebKit Web Inspector
Verfügbar für: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.5
Auswirkung: Ein Programm kann unsignierten Code ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2499: George Dan (@theninjaprawn)
Zusätzliche Danksagung
Safari
Wir möchten uns bei Flyin9_L (ZhenHui Lee) (@ACITSEC) für die Unterstützung bedanken.
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.