Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Więcej informacji na temat zabezpieczeń można znaleźć na stronie Bezpieczeństwo produktów Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Safari 10
Wydano 20 września 2016 r.
Czytnik Reader w przeglądarce Safari
Dostępne dla: systemów OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12
Zagrożenie: włączenie funkcji czytnika Reader w przeglądarce Safari na złośliwie napisanej stronie internetowej może doprowadzić do powszechnych ataków XSS (cross-site scripting).
Opis: naprawiono wiele błędów sprawdzania poprawności przez poprawienie procesu oczyszczania danych wejściowych.
CVE-2016-4618: Erling Ellingsen
Wpis uaktualniono 23 września 2016 r.
Karty Safari
Dostępne dla: systemów OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12
Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do sfałszowania paska adresu.
Opis: w procedurach obsługi sesji kart występował błąd zarządzania stanem. Ten problem rozwiązano przez poprawienie procedur zarządzania stanem sesji.
CVE-2016-4751: Daniel Chatfield z banku Monzo
WebKit
Dostępne dla: systemów OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: w procedurze obsługi prototypów błędów występował błąd analizowania składni. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności.
CVE-2016-4728: Daniel Divricean
WebKit
Dostępne dla: systemów OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować ujawnienie poufnych danych.
Opis: w procedurach obsługi zmiennej lokalizacji występował błąd uprawnień. Ten błąd naprawiono przez dodanie kontroli własności.
CVE-2016-4758: Masato Kinugawa z Cure53
WebKit
Dostępne dla: systemów OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2016-4611: Apple
CVE-2016-4729: Apple
CVE-2016-4730: Apple
CVE-2016-4731: Apple
CVE-2016-4734: natashenka z Google Project Zero
CVE-2016-4735: André Bargull
CVE-2016-4737: Apple
CVE-2016-4759: Tongbo Luo z Palo Alto Networks
CVE-2016-4762: Zheng Huang z Baidu Security Lab
CVE-2016-4766: Apple
CVE-2016-4767: Apple
CVE-2016-4768: anonimowy użytkownik w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2016-4769: Tongbo Luo z Palo Alto Networks
WebKit
Dostępne dla: systemów OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12
Zagrożenie: złośliwie spreparowana witryna może być w stanie uzyskać dostęp do usług niebędących usługami HTTPS.
Opis: obsługa protokołu HTTP/0.9 przez przeglądarkę Safari umożliwiała międzyprotokołowe wykorzystywanie usług niebędących usługami HTTPS przy użyciu ponownego wiązania w systemie DNS. Ten problem naprawiono przez ograniczenie odpowiedzi HTTP/0.9 do domyślnych portów i anulowanie wczytywania zasobu, jeśli dokument został wczytany przy użyciu protokołu HTTP o innej wersji.
CVE-2016-4760: Jordan Milne
WebKit
Dostępne dla: systemów OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
CVE-2016-4733: natashenka z Google Project Zero
CVE-2016-4765: Apple
WebKit
Dostępne dla: systemów OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12
Zagrożenie: osoba atakująca mająca uprzywilejowany dostęp do sieci może być w stanie przechwycić i zmodyfikować ruch sieciowych do aplikacji przy użyciu interfejsu WKWebView z protokołem HTTPS.
Opis: w procedurach obsługi WKWebView występował błąd sprawdzania poprawności certyfikatów. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności.
CVE-2016-4763: anonimowy badacz
WebKit
Dostępne dla: systemów OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 i macOS Sierra 10.12
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
CVE-2016-4764: Apple
Wpis dodano 3 listopada 2016 r.