Informace o bezpečnostním obsahu Safari 8.0.7, Safari 7.1.7 a Safari 6.2.7

Tento dokument popisuje bezpečnostní obsah Safari 8.0.7, Safari 7.1.7 a Safari 6.2.7.

Apple v zájmu ochrany zákazníků nezveřejňuje, nerozebírá ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřeny a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

Safari 8.0.7, Safari 7.1.7 a Safari 6.2.7

  • WebKit

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 a OS X Yosemite 10.10.3

    Dopad: Škodlivé weby mohou přistupovat k WebSQL databázím jiných webů.

    Popis: Existoval problém v kontrole oprávnění při přejmenovávání WebSQL tabulek. Ten mohl škodlivému webu umožnit přístup k databázím jiných webů. Problém byl vyřešen lepší kontrolou oprávnění.

    CVE-ID

    CVE-2015-3727 : Peter Rutenbar spolupracující s iniciativou Zero Day Initiative společnosti HP

  • Načítání stránek ve WebKitu

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 a OS X Yosemite 10.10.3

    Dopad: Návštěva škodlivého webu může vést k převzetí kontroly nad účtem.

    Popis: Existoval problém, kdy Safari uchovávalo hlavičky požadavků Origin i při přesměrování na jiný původ, což škodlivým webům umožňovalo obejít ochrany CSRF. Problém byl vyřešen lepším zpracováváním seznamů ACL.

    CVE-ID

    CVE-2015-3658 : Brad Hill ze společnosti Facebook

  • PDF ve WebKitu

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 a OS X Yosemite 10.10.3

    Dopad: Kliknutí na škodlivý odkaz v PDF dokumentu vloženém ve webové stránce může vést ke krádeži cookie nebo úniku uživatelských informací.

    Popis: Ve zpracovávání odkazů ve vložených PDF dokumentech existoval problém, díky kterému bylo možné spouštět JavaScript v kontextu hostující webové stránky. Problém byl vyřešen odebráním podpory spouštění JavaScriptu v odkazech.

    CVE-ID

    CVE-2015-3660 : Apple

  • Úložiště WebKitu

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 a OS X Yosemite 10.10.3

    Dopad: Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: V kontrole oprávnění SQLite existoval problém s nedostatečným porovnáváním, který umožňoval vyvolání libovolných SQL funkcí. Problém byl vyřešen lepší kontrolou oprávnění.

    CVE-ID

    CVE-2015-3659 : Peter Rutenbar spolupracující s iniciativou Zero Day Initiative společnosti HP

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.

Datum zveřejnění: