Apple、OS X El CapitanおよびYosemite向けSafari 10をリリース

By XkeyacwpmNews0 comments

Contents

  1. Introduction
  2. Main Content
  3. Discussion
  4. Conclusion
Apple、OS X El CapitanおよびYosemite向けSafari 10をリリース

サファリ10Appleは火曜日に、OS X El CapitanおよびYosemite向けのSafari 10をリリースしました。macOS Sierraのリリースに合わせてリリースされ、複数の新機能と21件のセキュリティ修正が含まれています。

最大の新機能は、Mac App Storeを通じたSafari Extensionsのサポートです。Safari 10では、可能な限りHTML5ビデオが優先されます。UIもいくつか改善されています。

Safari 10は、El CapitanおよびYosemiteのMac App Storeの「アップデート」タブからダウンロードできます。macOS Sierraには自動的に含まれています。

Safari 10 パッチノート

Safari 10アップデートは、OS X El Capitanのすべてのユーザーに推奨されます。プライバシー、互換性、セキュリティの強化が含まれています。このアップデートには以下の機能が含まれています。

  • Mac App Store の Safari 拡張機能のサポートを追加
  • 利用可能な場合はいつでも HTML 5 ビデオを表示し、ダウンロードを高速化し、バッテリー寿命を延ばし、セキュリティを強化します。
  • 許可したウェブサイトでのみプラグインを実行することでセキュリティを強化します
  • 自動入力を改良し、連絡先のあらゆる連絡先からの情報の自動入力のサポートを追加しました
  • リーダービューの書式設定を強化します
  • ユーザーが訪問した各ウェブサイトのズームレベルを記憶します

Apple は、Safari 10 の約 21 件のセキュリティバグも修正しました。これらのバグには、悪意のある人物が Mac に侵入したり乗っ取ったりできるバグがいくつか含まれています。

サファリ10

2016年9月20日リリース

Safariリーダー

対象OS: OS X Yosemite v10.10.5およびOS X El Capitan v10.11.6

影響: 悪意のあるWebページでSafariリーダー機能を有効にすると、ユニバーサルクロスサイトスクリプティングが発生する可能性があります。

説明: 入力サニタイズの改善により、複数の検証問題が解決されました。

CVE-2016-4618: 匿名の研究者

Safariタブ

対象OS: OS X Yosemite v10.10.5およびOS X El Capitan v10.11.6

影響: 悪意のあるウェブサイトにアクセスすると、アドレスバーの偽装が行われる可能性がある

説明: タブセッションの処理において状態管理の問題がありました。この問題はセッション状態管理によって解決されました。

CVE-2016-4751: Monzo Bank の Daniel Chatfield 氏

ウェブキット

対象OS: OS X Yosemite v10.10.5およびOS X El Capitan v10.11.6

影響: 悪意を持って作成されたWebコンテンツを処理すると、任意のコードが実行される可能性がある

説明: エラープロトタイプの処理に解析上の脆弱性がありました。この問題は検証を強化することで解決されました。

CVE-2016-4728: ダニエル・ディブリシアン

ウェブキット

対象OS: OS X Yosemite v10.10.5およびOS X El Capitan v10.11.6

影響: 悪意のあるウェブサイトにアクセスすると機密データが漏洩する可能性がある

説明: 場所変数の処理に権限の問題がありました。この問題は、所有権チェックを追加することで解決されました。

CVE-2016-4758: Cure53 衣川正人

ウェブキット

対象OS: OS X Yosemite v10.10.5およびOS X El Capitan v10.11.6

影響: 悪意を持って作成されたWebコンテンツを処理すると、任意のコードが実行される可能性がある

説明: メモリ処理を強化することで、複数のメモリ破損の問題が解決されました。

CVE-2016-4611: アップル

CVE-2016-4729: アップル

CVE-2016-4730: アップル

CVE-2016-4731: アップル

CVE-2016-4734: Google Project Zero の Natalie Silvanovich

CVE-2016-4735: アンドレ・バルグル

CVE-2016-4737: アップル

CVE-2016-4759: パロアルトネットワークスのTongbo Luo氏

CVE-2016-4762: Baidu Security Lab の Zheng Huang 氏

CVE-2016-4766: アップル

CVE-2016-4767: アップル

CVE-2016-4768: トレンドマイクロのゼロデイイニシアチブに協力する匿名の人物

CVE-2016-4769: パロアルトネットワークスのTongbo Luo氏

ウェブキット

対象OS: OS X Yosemite v10.10.5およびOS X El Capitan v10.11.6

影響: 悪意のあるウェブサイトが非HTTPサービスにアクセスできる可能性がある

説明:Safari の HTTP/0.9 のサポートにより、DNS 再バインディングを利用した非 HTTP サービスのクロスプロトコル攻撃が可能になっていました。この問題は、HTTP/0.9 の応答をデフォルトポートに制限し、ドキュメントが異なる HTTP プロトコルバージョンで読み込まれた場合はリソースの読み込みをキャンセルすることで解決されました。

CVE-2016-4760: ジョーダン・ミルン

ウェブキット

対象OS: OS X Yosemite v10.10.5およびOS X El Capitan v10.11.6

影響: 悪意を持って作成されたWebコンテンツを処理すると、任意のコードが実行される可能性がある

説明: 状態管理を改善することで、複数のメモリ破損の問題が解決されました。

CVE-2016-4733: Google Project Zero の Natalie Silvanovich

CVE-2016-4765: アップル

ウェブキット

対象OS: OS X Yosemite v10.10.5およびOS X El Capitan v10.11.6

影響: 特権ネットワークポジションにいる攻撃者が、HTTPS で WKWebView を使用するアプリケーションへのネットワークトラフィックを傍受して変更できる可能性があります。

説明: WKWebView の処理において、証明書の検証に問題がありました。この問題は、検証を強化することで解決されました。

CVE-2016-4763: 匿名の研究者

Knowledge Network

Worth Exploring