Informace o bezpečnostním obsahu Safari 9.1.2
Tento dokument popisuje bezpečnostní obsah Safari 9.1.2.
Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nediskutuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřeny a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple. Komunikaci se společností Apple můžete zašifrovat pomocí klíče PGP zabezpečení produktů Apple.
Je-li to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny jejich identifikátorem CVE-ID.
Safari 9.1.2
WebKit
K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11.6
Dopad: Návštěva škodlivého webu může vést ke spuštění libovolného kódu.
Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšenou správou paměti.
CVE-2016-4589: Tongbo Luo a Bo Qu ze společnosti Palo Alto Networks
CVE-2016-4622: Samuel Gross ve spolupráci se Zero Day společnosti Trend Micro
CVE-2016-4623: Apple
CVE-2016-4624: Apple
CVE-2016-4586: Apple
WebKit
K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11.6
Dopad: Škodlivý web může zveřejnit data obrázků z jiného webu.
Popis: Ve zpracovávání souborů SVG existoval problém s časováním. Problém byl vyřešen vylepšením ověřování.
CVE-2016-4583: Roeland Krak
WebKit
K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11.6
Dopad: Návštěva škodlivého webu může vést k systémovému odmítnutí služby.
Popis: Problém se spotřebou paměti byl vyřešen vylepšenou správou paměti.
CVE-2016-4592: Mikhail
WebKit
K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11.6
Dopad: Návštěva škodlivého webu může vést k úniku citlivých dat.
Popis: Ve zpracovávání proměnných umístění existoval problém s oprávněními. Problém byl vyřešen přidáním dodatečných kontrol vlastnictví.
CVE-2016-4591: ma.la ze společnosti LINE Corporation
WebKit
K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11.6
Dopad: Návštěva škodlivého webu může vést ke zfalšování uživatelského rozhraní.
Popis: Ve zpracování URL adres about: existoval problém s děděním původu. Tento problém byl vyřešen vylepšeným sledováním bezpečnostních původů.
CVE-2016-4590: xisigr z týmu Xuanwu Lab společnosti Tencent (www.tencent.com)
Javascriptové vazby ve WebKitu
K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11.6
Dopad: Návštěva škodlivého webu může vést ke spuštění kódu v kontextu služby s jiným protokolem než HTTP.
Popis: Při posílání formulářů do služeb s jiným protokolem než HTTP, kompatibilních s protokolem HTTP/0.9, docházelo v Safari k problému se skriptováním mezi protokoly a weby (XPXSS). Problém byl vyřešen zakázáním skriptů a pluginů u prostředků načítaných přes HTTP/0.9.
CVE-2016-4651: Obscure
Načítání stránek ve WebKitu
K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11.6
Dopad: Škodlivý web může získat data napříč původy.
Popis: V přesměrovávání URL adres v Safari existoval problém se skriptováním napříč weby. Problém byl vyřešen vylepšením ověřování URL adres při přesměrovávání.
CVE-2016-4585: Takeshi Terada ze společnosti Mitsui Bussan Secure Directions, Inc. (www.mbsd.jp)
Načítání stránek ve WebKitu
K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11.6
Dopad: Návštěva škodlivého webu může vést ke spuštění libovolného kódu.
Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšenou správou paměti.
CVE-2016-4584: Chris Vienneau
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.