אודות תוכן האבטחה של Safari 10
מסמך זה מתאר את תוכן האבטחה של Safari 10.
אודות עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.
למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple. ניתן להצפין תקשורת עם Apple באמצעות 'מפתח PGP לאבטחת מוצר' של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
Safari 10
הקורא של Safari
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12
השפעה: הפעלת התכונה 'הקורא של Safari' בדף אינטרנט זדוני עשויה להוביל ל-scripting אוניברסלי בין אתרים
תיאור: מספר בעיות אימות טופלו באמצעות סניטציה משופרת של קלט.
CVE-2016-4618: ארלינג אלינגסן
כרטיסיות Safari
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12
השפעה: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות
תיאור: בטיפול בהפעלת כרטיסיות הייתה בעיית ניהול מצבים. בעיה זו טופלה באמצעות ניהול מצבים של הפעלות.
CVE-2016-4751: דניאל צ'אטפילד מ-Monzo Bank
WebKit
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בטיפול באבות טיפוס של שגיאות הייתה בעיית ניתוח. הבעיה טופלה באמצעות אימות משופר.
CVE-2016-4728: דניאל דיבריציאן
WebKit
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12
השפעה: ביקור באתר בעל מבנה זדוני עלול להדליף נתונים רגישים
תיאור: בטיפול במשתנה המיקום הייתה בעיית הרשאות. בעיה זו טופלה באמצעות בדיקות נוספות של הבעלות.
CVE-2016-4758: מסאטו קינוגאווה מ-Cure53
WebKit
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.
CVE-2016-4611: Apple
CVE-2016-4729: Apple
CVE-2016-4730: Apple
CVE-2016-4731: Apple
CVE-2016-4734: נטאשנקה מ-Google Project Zero
CVE-2016-4735: אנדרה ברגול
CVE-2016-4737: Apple
CVE-2016-4759: טונגבו לואו מ-Palo Alto Networks
CVE-2016-4762: ז'נג חואנג מ-Baidu Security Lab
CVE-2016-4766: Apple
CVE-2016-4767: Apple
CVE-2016-4768: אנונימי בעבודה עם Zero Day Initiative של Trend Micro
CVE-2016-4769: טונגבו לואו מ-Palo Alto Networks
WebKit
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12
השפעה: אתר זדוני עלול להצליח לגשת לשירותים שאינם מסוג HTTP
תיאור: התמיכה של Safari ב-HTTP/0.9 אפשרה ניצול של מספר פרוטוקולי שירותים שאינם מסוג HTTP באמצעות איגוד מחדש של DNS. הבעיה טופלה באמצעות הגבלת תגובות של HTTP/0.9 ליציאות המוגדרות כברירת מחדל וביטול טעינת משאבים אם המסמך נטען באמצעות גרסה שונה של פרוטוקול HTTP.
CVE-2016-4760: ג'ורדן מילנה
WebKit
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיות מרובות בזיכרון פגום טופלו באמצעות ניהול מצב משופר.
CVE-2016-4733: נטאשנקה מ-Google Project Zero
CVE-2016-4765: Apple
WebKit
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12
השפעה: תוקף במיקום מורשה ברשת עלול להצליח ליירט ולשנות תעבורת רשת לאפליקציות באמצעות WKWebView עם HTTPS
תיאור: בטיפול ב-WKWebView הייתה בעיית אימות אישורים. בעיה זו טופלה באמצעות אימות משופר.
CVE-2016-4763: חוקר אנונימי
WebKit
זמין עבור: OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 ו-macOS Sierra 10.12
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיות מרובות בזיכרון פגום טופלו באמצעות ניהול מצב משופר.
CVE-2016-4764: Apple
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.