Apple verhelpt meerdere kwetsbaarheden in Safari

Er bevinden zich meerdere kwetsbaarheden in Safari. Apple heeft updates beschikbaar gesteld om de kwetsbaarheden te verhelpen.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Apple verhelpt meerdere kwetsbaarheden in Safari
Advisory ID     : NCSC-2016-0848
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2016-4611, CVE-2016-4618, CVE-2016-4728,
                  CVE-2016-4729, CVE-2016-4730, CVE-2016-4731,
                  CVE-2016-4733, CVE-2016-4734, CVE-2016-4735,
                  CVE-2016-4737, CVE-2016-4751, CVE-2016-4758,
                  CVE-2016-4759, CVE-2016-4760, CVE-2016-4762,
                  CVE-2016-4763, CVE-2016-4765, CVE-2016-4766,
                  CVE-2016-4767, CVE-2016-4768, CVE-2016-4769
                  (http://cve.mitre.org/cve/)
Schade          : high
                  Cross-Site Scripting (XSS)
                  Manipulatie van gegevens
                  Remote code execution (Gebruikersrechten)
                  Spoofing
                  Toegang tot gevoelige gegevens
                  Toegang tot systeemgegevens
Uitgiftedatum   : 20160921
Toepassing      : Apple Safari
Versie(s)       : 10
Platform(s)     : 

Samenvatting
   Er bevinden zich meerdere kwetsbaarheden in Safari. Apple heeft
   updates beschikbaar gesteld om de kwetsbaarheden te verhelpen.

Gevolgen
   Een kwaadwillende kan de kwetsbaarheden mogelijk misbruiken voor
   - cross-site-scripting;
   - het manipuleren van gegevens;
   - het uitvoeren van willekeurige code met de rechten van de
   kwetsbare applicatie;
   - het spoofen van de adresbalk in Safari;
   - het verkrijgen van toegang tot gevoelige gegevens of
   systeeminformatie.

Beschrijving
   - CVE-2016-4769, CVE-2016-4768, CVE-2016-4767, CVE-2016-4766,
   CVE-2016-4765, CVE-2016-4762, CVE-2016-4759, CVE-2016-4737,
   CVE-2016-4735, CVE-2016-4734, CVE-2016-4733, CVE-2016-4731,
   CVE-2016-4730, CVE-2016-4729, CVE-2016-4611
   Het verwerken van malafide web-content kan ertoe leiden dat er
   willekeurige code wordt uitgevoerd.
   
   - CVE-2016-4763
   Een kwaadwillende met rechten binnen het netwerk kan mogelijk
   netwerkverkeer onderscheppen en aanpassen dat bedoeld is voor
   applicaties die gebruikmaken van WKWebView met HTTPS. 
   
   - CVE-2016-4760
   Door Safari's ondersteuning van HTTP/0.9 kan een malafide webpagina
   mogelijk toegang verkrijgen tot niet-HTTP services. 
   
   - CVE-2016-4758
   Het bezoeken van een malafide website kan mogelijk leiden tot het
   lekken van gevoelige informatie. 
   
   - CVE-2016-4751
   Het bezoeken van een malafide website kan mogelijk leiden tot
   adresbalk-spoofing.
   
   - CVE-2016-4728
   Door een parseerfout in het afhandelen van error prototypes leidt
   het verwerken van malafide web-content mogelijk tot het uitvoeren
   van willekeurige code.
   
   - CVE-2016-4618
   Het activeren van de Safari Reader op een malafide website kan
   mogelijk leiden tot universele cross-site-scripting.

Mogelijke oplossingen
   -= Apple =-
   Apple heeft updates voor Safari 10 beschikbaar gesteld om de
   kwetsbaarheden te verhelpen. Voor meer informatie zie:
   
   https://support.apple.com/en-us/HT207157
   http://prod.lists.apple.com/archives/security-announce/2016/Sep
      /msg00007.html

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.3.2 (Build 16620)
Charset: utf-8
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=JlNE
-----END PGP SIGNATURE-----

Wat is het NCSC?

CSBN 2018

Nederland digitaal veilig