Obsah zabezpečenia v prehliadači Safari 10.1

V tomto dokumente sa popisuje obsah zabezpečenia v prehliadači Safari 10.1.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple. Komunikáciu so spoločnosťou Apple môžete zašifrovať pomocou kľúča PGP zabezpečenia produktov Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Safari 10.1

CoreGraphics

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.

CVE-2017-2444: Mei Wang z tímu 360 GearTeam

JavaScriptCore

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2017-2491: Apple

JavaScriptCore

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webovej stránky so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)

Popis: Dochádzalo k problému s prototypom, ktorý bol vyriešený vylepšením logiky.

CVE-2017-2492: lokihardt z tímu Google Project Zero

Safari

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k sfalšovaniu lišty s adresou

Popis: Dochádzalo k problému so správou stavu, ktorý bol vyriešený zakázaním textového vstupu až do načítania cieľovej stránky.

CVE-2017-2376: Anonymný výskumník, Chris Hlady zo spoločnosti Google Inc., Yuyang Zhou z tímu Security Platform Department (security.tencent.com) spoločnosti Tencent, Muneaki Nishimura (nishimunea) zo spoločnosti Recruit Technologies Co., Ltd., Michal Zalewski zo spoločnosti Google Inc., anonymný výskumník

Safari

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k zobrazeniu autentifikačných kariet na ľubovoľných webových stránkach

Popis: Pri spracovávaní autentifikácie HTTP dochádzalo k problému s falšovaním a odmietnutím služby. Tento problém bol vyriešený nastavením autentifikačných kariet HTTP na nemodálne.

CVE-2017-2389: ShenYeYinJiu z tímu Tencent Security Response Center, TSRC

Safari

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Návšteva webovej stránky so škodlivým kódom kliknutím na odkaz môže viesť k sfalšovaniu používateľského rozhrania

Popis: Pri spracovávaní výziev služby FaceTime dochádzalo k problému s falšovaním. Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2017-2453: xisigr z tímu Xuanwu Lab spoločnosti Tencent (tencent.com)

Automatické vypĺňanie prihlasovacích údajov v Safari

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Lokálny používateľ môže mať prístup k zamknutým položkám kľúčenky

Popis: Dochádzalo k problému so spracovaním kľúčenky, ktorý bol vyriešený vylepšením správy položiek kľúčenky.

CVE-2017-2385: Simon Woodside zo spoločnosti MedStack

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Potiahnutie odkazu so škodlivým kódom môže viesť k sfalšovaniu záložky alebo spusteniu ľubovoľného kódu

Popis: Pri vytváraní záložiek dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2017-2378: xisigr z tímu Xuanwu Lab spoločnosti Tencent (tencent.com)

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neoprávnenému získaniu dát s rôznym pôvodom

Popis: Dochádzalo k problému súvisiacemu s prístupom k prototypu, ktorý bol vyriešený vylepšením spracovania výnimiek.

CVE-2017-2386: André Bargull

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.

CVE-2017-2394: Apple

CVE-2017-2396: Apple

CVE-2016-9642: Gustavo Grieco

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2017-2395: Apple

CVE-2017-2454: Ivan Fratric z tímu Google Project Zero, Zheng Huang z tímu Baidu Security Lab v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CVE-2017-2455: Ivan Fratric z tímu Google Project Zero

CVE-2017-2459: Ivan Fratric z tímu Google Project Zero

CVE-2017-2460: Ivan Fratric z tímu Google Project Zero

CVE-2017-2464: Jeonghoon Shin, natashenka z tímu Google Project Zero

CVE-2017-2465: Zheng Huang a Wei Yuan z tímu Security Lab spoločnosti Baidu

CVE-2017-2466: Ivan Fratric z tímu Google Project Zero

CVE-2017-2468: lokihardt z tímu Google Project Zero

CVE-2017-2469: lokihardt z tímu Google Project Zero

CVE-2017-2470: lokihardt z tímu Google Project Zero

CVE-2017-2476: Ivan Fratric z tímu Google Project Zero

CVE-2017-2481: 0011 v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-2415: Kai Kang z tímu Xuanwu Lab spoločnosti Tencent (tencent.com)

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k tomu, že sa neočakávane prestanú vynucovať zásady CSP (Content Security Policy)

Popis: V zásadách CSP (Content Security Policy) dochádzalo k problému s prístupom. Tento problém bol vyriešený vylepšením obmedzení prístupu.

CVE-2017-2419: Nicolai Grødum zo spoločnosti Cisco Systems

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k vysokej spotrebe pamäte

Popis: Dochádzalo k problému s nekontrolovanou spotrebou zdrojov, ktorý bol vyriešený vylepšením spracovania regulárnych výrazov.

CVE-2016-9643: Gustavo Grieco

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Pri spracovávaní shaderov OpenGL dochádzalo k problému s únikom informácií. Tento problém bol vyriešený vylepšením správy pamäte.

CVE-2017-2424: Paul Thomson (použitím nástroja GLFuzz) zo skupiny Multicore Programming Group, Kráľovská univerzita v Londýne

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2017-2433: Apple

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neoprávnenému získaniu dát s rôznym pôvodom

Popis: Pri spracovávaní načítavania stránok dochádzalo k viacerým problémom s overovaním. Tieto problémy boli vyriešené vylepšením logiky.

CVE-2017-2364: lokihardt z tímu Google Project Zero

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Webová stránka so škodlivým kódom môže spôsobiť neoprávnené získanie dát s rôznym pôvodom

Popis: Pri spracovávaní načítania stránok dochádzalo k problému s overovaním. Tieto problémy boli vyriešené vylepšením logiky.

CVE-2017-2367: lokihardt z tímu Google Project Zero

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)

Popis: Pri spracovávaní objektov rámcov dochádzalo k problému s logikou. Tento problém bol vyriešený vylepšením správy stavu.

CVE-2017-2445: lokihardt z tímu Google Project Zero

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Pri spracovávaní funkcií striktného režimu dochádzalo k problému s logikou. Tento problém bol vyriešený vylepšením správy stavu.

CVE-2017-2446: natashenka z tímu Google Project Zero

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k úniku informácií používateľa

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-2447: natashenka z tímu Google Project Zero

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2017-2463: Kai Kang (4B5F5F4B) z tímu Xuanwu Lab spoločnosti Tencent (tencent.com) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2017-2471: Ivan Fratric z tímu Google Project Zero

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)

Popis: Pri spracovávaní rámcov dochádzalo k problému s logikou. Tento problém bol vyriešený vylepšením správy stavu.

CVE-2017-2475: lokihardt z tímu Google Project Zero

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neoprávnenému získaniu dát s rôznym pôvodom

Popis: Pri spracovávaní prvkov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania.

CVE-2017-2479: lokihardt z tímu Google Project Zero

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neoprávnenému získaniu dát s rôznym pôvodom

Popis: Pri spracovávaní prvkov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania.

CVE-2017-2480: lokihardt z tímu Google Project Zero

CVE-2017-2493: lokihardt z tímu Google Project Zero

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k sfalšovaniu lišty s adresou

Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2017-2486: Anonymný výskumník

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Apka môže byť schopná spustiť ľubovoľný kód

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-2392: Max Bazaliy zo spoločnosti Lookout

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2017-2457: lokihardt z tímu Google Project Zero

WebKit

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2017-7071: Kai Kang (4B5F5F4B) z tímu Xuanwu Lab spoločnosti Tencent (tencent.com) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

JavaScriptové väzby vo WebKite

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neoprávnenému získaniu dát s rôznym pôvodom

Popis: Pri spracovávaní načítavania stránok dochádzalo k viacerým problémom s overovaním. Tieto problémy boli vyriešené vylepšením logiky.

CVE-2017-2442: lokihardt z tímu Google Project Zero

WebKit Web Inspector

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Zatvorenie okna v okamihu, keď je pozastavené v ladiacom programe, môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2017-2377: Vicki Pfau

WebKit Web Inspector

K dispozícii pre: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.4

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2017-2405: Apple

Ďalšie poďakovanie

Safari

Poďakovanie za pomoc si zaslúži Flyin9 (ZhenHui Lee).

Webkit

Poďakovanie za pomoc si zaslúži Yosuke HASEGAWA zo spoločnosti Secure Sky Technology Inc.