Informace o bezpečnostním obsahu Safari 9.1.2

Tento dokument popisuje bezpečnostní obsah Safari 9.1.2.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nediskutuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřeny a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple. Komunikaci se společností Apple můžete zašifrovat pomocí klíče PGP zabezpečení produktů Apple.

Je-li to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny jejich identifikátorem CVE-ID.

Safari 9.1.2

WebKit

K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11.6

Dopad: Návštěva škodlivého webu může vést ke spuštění libovolného kódu.

Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšenou správou paměti.

CVE-2016-4589: Tongbo Luo a Bo Qu ze společnosti Palo Alto Networks

CVE-2016-4622: Samuel Gross ve spolupráci se Zero Day společnosti Trend Micro

CVE-2016-4623: Apple

CVE-2016-4624: Apple

CVE-2016-4586: Apple

WebKit

K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11.6

Dopad: Škodlivý web může zveřejnit data obrázků z jiného webu.

Popis: Ve zpracovávání souborů SVG existoval problém s časováním. Problém byl vyřešen vylepšením ověřování.

CVE-2016-4583: Roeland Krak

WebKit

K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11.6

Dopad: Návštěva škodlivého webu může vést k systémovému odmítnutí služby.

Popis: Problém se spotřebou paměti byl vyřešen vylepšenou správou paměti.

CVE-2016-4592: Mikhail

WebKit

K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11.6

Dopad: Návštěva škodlivého webu může vést k úniku citlivých dat.

Popis: Ve zpracovávání proměnných umístění existoval problém s oprávněními. Problém byl vyřešen přidáním dodatečných kontrol vlastnictví.

CVE-2016-4591: ma.la ze společnosti LINE Corporation

WebKit

K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11.6

Dopad: Návštěva škodlivého webu může vést ke zfalšování uživatelského rozhraní.

Popis: Ve zpracování URL adres about: existoval problém s děděním původu. Tento problém byl vyřešen vylepšeným sledováním bezpečnostních původů.

CVE-2016-4590: xisigr z týmu Xuanwu Lab společnosti Tencent (www.tencent.com)

Javascriptové vazby ve WebKitu

K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11.6

Dopad: Návštěva škodlivého webu může vést ke spuštění kódu v kontextu služby s jiným protokolem než HTTP.

Popis: Při posílání formulářů do služeb s jiným protokolem než HTTP, kompatibilních s protokolem HTTP/0.9, docházelo v Safari k problému se skriptováním mezi protokoly a weby (XPXSS). Problém byl vyřešen zakázáním skriptů a pluginů u prostředků načítaných přes HTTP/0.9.

CVE-2016-4651: Obscure

Načítání stránek ve WebKitu

K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11.6

Dopad: Škodlivý web může získat data napříč původy.

Popis: V přesměrovávání URL adres v Safari existoval problém se skriptováním napříč weby. Problém byl vyřešen vylepšením ověřování URL adres při přesměrovávání.

CVE-2016-4585: Takeshi Terada ze společnosti Mitsui Bussan Secure Directions, Inc. (www.mbsd.jp)

Načítání stránek ve WebKitu

K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11.6

Dopad: Návštěva škodlivého webu může vést ke spuštění libovolného kódu.

Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšenou správou paměti.

CVE-2016-4584: Chris Vienneau