Informace o bezpečnostním obsahu Safari 9.1

Tento dokument popisuje bezpečnostní obsah Safari 9.1.

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřeny a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

Safari 9.1

  • Safari

    K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11.4

    Dopad: Návštěva škodlivého webu může vést ke zfalšování uživatelského rozhraní.

    Popis: Existoval problém, kdy dialogové okno obsahovalo mimo jiné text poskytnutý webovou stránkou. Problém byl vyřešen odebráním tohoto textu z dialogového okna.

    CVE-ID

    CVE-2009-2197 : Alexios Fakos z týmu n.runs AG

  • Stahování v Safari

    K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11.4

    Dopad: Návštěva škodlivé webové stránky může vést k systémovému odmítnutí služby.

    Popis: Ve zpracovávání některých souborů existoval problém s nedostatečným ověřováním vstupů. Problém byl vyřešen přidáním dodatečných kontrol při expanzi souborů.

    CVE-ID

    CVE-2016-1771 : Russ Cox

  • Top stránky v Safari

    K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11.4

    Dopad: Weby můžou sledovat citlivá data uživatelů.

    Popis: Na panelu Top stránky existoval problém s ukládáním cookies. Problém byl vyřešen vylepšením správy stavu.

    CVE-ID

    CVE-2016-1772 : WoofWagly

  • WebKit

    K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11.4

    Dopad: Weby můžou sledovat citlivá data uživatelů.

    Popis: Existoval problém ve zpracovávání URL adres příloh. Problém byl vyřešen lepším zpracováváním URL adres.

    CVE-ID

    CVE-2016-1781 : Devdatta Akhawe ze společnosti Dropbox, Inc.

  • WebKit

    K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11.4

    Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.

    Popis: Existovalo několik problémů s poškozením paměti, které byly vyřešeny vylepšením správy paměti.

    CVE-ID

    CVE-2016-1778 : 0x1byte ve spolupráci se Zero Day Initiative (ZDI) společnosti Trend Micro a Yang Zhao ze společnosti CM Security

    CVE-2016-1783 : Mihai Parparita ze společnosti Google

  • WebKit

    K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11.4

    Dopad: Škodlivý web může získat přístup k omezeným portům libovolných serverů.

    Popis: Existoval problém s přesměrováním portů, který byl vyřešen přidáním dodatečného ověřování portů.

    CVE-ID

    CVE-2016-1782 : Muneaki Nishimura (nishimunea) ze společnosti Recruit Technologies Co.,Ltd.

  • WebKit

    K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11.4

    Dopad: Návštěva škodlivého webu může odhalit uživatelovu aktuální polohu.

    Popis: Existoval problém ve zpracovávání požadavků geografické polohy. Problém byl vyřešen lepším ověřováním bezpečnostního původu jednotlivých požadavků na polohu.

    CVE-ID

    CVE-2016-1779: xisigr z týmu Xuanwu Lab společnosti Tencent (www.tencent.com)

  • WebKit

    K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11.4

    Dopad: Otevření škodlivé adresy URL může vést k úniku citlivých informací uživatele.

    Popis: V přesměrování URL existoval problém, kdy se XSS auditor používal v blokovém režimu. Problém byl vyřešen vylepšenou navigací v URL adresách.

    CVE-ID

    CVE-2016-1864 : Takeshi Terada ze společnosti Mitsui Bussan Secure Directions, Inc.

  • Historie WebKitu

    K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11.4

    Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu Safari.

    Popis: Existoval problém s vyčerpáním prostředků, který byl vyřešen lepším ověřováním vstupů.

    CVE-ID

    CVE-2016-1784 : Moony Li a Jack Tang ze společnosti TrendMicro a 李普君 z týmu 无声信息技术PKAV (PKAV.net)

  • Načítání stránek ve WebKitu

    K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11.4

    Dopad: Škodlivý web může získat data napříč původy.

    Popis: Při kódování znaků docházelo k problému s ukládáním do vyrovnávací paměti. Problém byl vyřešen přidáním dodatečných kontrol požadavků.

    CVE-ID

    CVE-2016-1785 : Anonymní výzkumník

  • Načítání stránek ve WebKitu

    K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11.4

    Dopad: Návštěva škodlivého webu může vést ke zfalšování uživatelského rozhraní.

    Popis: Odpovědi na přesměrování mohly škodlivým webům umožňovat zobrazovat libovolnou URL adresu a číst obsah vyrovnávací paměti v cílovém původu. Problém byl vyřešen vylepšením logiky zobrazování URL adres.

    CVE-ID

    CVE-2016-1786 : ma.la ze společnosti LINE Corporation

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.

Datum zveřejnění: