Informace o bezpečnostním obsahu Safari 9
Tento dokument popisuje bezpečnostní obsah v Safari 9.
Apple v zájmu ochrany zákazníků nezveřejňuje, nerozebírá ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřeny a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.
Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.
Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.
Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.
Safari 9
Safari
K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11
Dopad: Návštěva škodlivého webu může vést k falšování uživatelského rozhraní.
Popis: Více nekonzistentností v uživatelském rozhraní mohlo škodlivým webům umožnit zobrazování libovolných URL adres. Problémy byly vyřešeny lepší logikou zobrazování URL adres.
CVE-ID
CVE-2015-5764 : Antonio Sanso (@asanso) ze společnosti Adobe
CVE-2015-5765 : Ron Masas
CVE-2015-5767 : Krystian Kloskowski prostřednictvím společnosti Secunia, Masato Kinugawa
Soubory ke stažení pro Safari
K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11
Dopad: Historie karantény v součásti LaunchServices mohla prozradit historii prohlížeče.
Popis: Přístup k historii karantény v součásti LaunchServices mohl prozradit historii prohlížeče podle stažených souborů. Problém byl vyřešen lepším mazáním historie karantény.
Rozšíření Safari
K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11
Dopad: Může být narušena důvěrnost místní komunikace mezi rozšířeními Safari a doprovodnými aplikacemi.
Popis: Důvěrnost místní komunikace mezi rozšířeními Safari, například správci hesel, a jejich nativními doprovodnými aplikacemi bylo možné narušit jinou nativní aplikací. Problém byl vyřešen zavedením nového, ověřeného komunikačního kanálu mezi rozšířeními Safari a doprovodnými aplikacemi.
Rozšíření Safari
K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11
Dopad: Rozšíření Safari mohou být na disku nahrazena.
Popis: Bylo možné nahradit na disku ověřené, uživatelem nainstalované rozšíření Safari, aniž by na to uživatel byl upozorněn. Problém byl vyřešen lepším ověřováním rozšíření.
CVE-ID
CVE-2015-5780 : Ben Toms z macmule.com
Bezpečné prohlížení v Safari
K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11
Dopad: Přechod na IP adresu známého škodlivého webu nemusel aktivovat bezpečnostní upozornění.
Popis: Funkce bezpečného prohlížení v Safari nevarovala uživatele při návštěvě známých škodlivých webů zadáním IP adresy. Problém byl vyřešen lepší detekcí škodlivých webů.
Rahul M (@rahulmfg) z týmu TagsDock
WebKit
K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11
Dopad: Částečně načtené obrázky mohou získat data napříč původy.
Popis: V ověřování původu obrázků docházelo ke konfliktu časování. Problém byl vyřešen lepším ověřováním původů zdrojů.
CVE-ID
CVE-2015-5788 : Apple
WebKit
K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11
Dopad: Návštěva škodlivého webu mohla vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Ve WebKitu existovalo několik problémů s poškozením paměti. Tyto problémy byly vyřešeny lepší správou paměti.
CVE-ID
CVE-2015-5789 : Apple
CVE-2015-5790 : Apple
CVE-2015-5791 : Apple
CVE-2015-5792 : Apple
CVE-2015-5793 : Apple
CVE-2015-5794 : Apple
CVE-2015-5795 : Apple
CVE-2015-5796 : Apple
CVE-2015-5797 : Apple
CVE-2015-5798 : Apple
CVE-2015-5799 : Apple
CVE-2015-5800 : Apple
CVE-2015-5801 : Apple
CVE-2015-5802 : Apple
CVE-2015-5803 : Apple
CVE-2015-5804 : Apple
CVE-2015-5805
CVE-2015-5806 : Apple
CVE-2015-5807 : Apple
CVE-2015-5808 : Joe Vennix
CVE-2015-5809 : Apple
CVE-2015-5810 : Apple
CVE-2015-5811 : Apple
CVE-2015-5812 : Apple
CVE-2015-5813 : Apple
CVE-2015-5814 : Apple
CVE-2015-5815 : Apple
CVE-2015-5816 : Apple
CVE-2015-5817 : Apple
CVE-2015-5818 : Apple
CVE-2015-5819 : Apple
CVE-2015-5821 : Apple
CVE-2015-5822 : Mark S. Miller ze společnosti Google
CVE-2015-5823 : Apple
WebKit
K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11
Dopad: Útočník může vytvořit cookies, které nebyly pro daný web zamýšleny.
Popis: WebKit umožňoval nastavit v API document.cookie i více různých cookies. Problém byl vyřešen vylepšením zpracovávání.
CVE-ID
CVE-2015-3801 : Erling Ellingsen ze společnosti Facebook
WebKit
K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11
Dopad: Performance API umožňuje škodlivým webům zveřejňovat historii prohlížeče, síťovou aktivitu a pohyby myši.
Dopad: Součást Performance API ve WebKitu umožňovala škodlivým webům měřit čas a pomocí toho zveřejňovat historii prohlížeče, síťovou aktivitu a pohyby myši. Problém byl vyřešen omezením časového rozlišení.
CVE-ID
CVE-2015-5825 : Yossi Oren a kol. z laboratoře Network Security na Columbijské univerzitě.
WebKit
K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11
Dopad: Návštěva nebezpečného webu může vést k nezamýšlenému vytáčení.
Popis: Existoval problém se zpracováváním URL adres typu tel://, facetime://, a facetime-audio://. Problém byl vyřešen lepším zpracováváním URL adres.
CVE-ID
CVE-2015-5820 : Guillaume Ross, Andrei Neculaesei
CSS ve WebKitu
K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11
Dopad: Škodlivý web může získat data napříč původy.
Popis: Safari umožňovalo načítat napříč původy styly obsahující MIME typy, které nejsou součástí CSS, což se dalo zneužít k získání dat napříč původy. Problém byl vyřešen omezením MIME typů u stylů načítaných napříč původy.
CVE-ID
CVE-2015-5826 : filedescriptior, Chris Evans
Javascriptové vazby ve WebKitu
K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11
Dopad: U vlastních událostí, událostí zpráv a událostí vyskakovacích stavů může docházet ke zveřejňování odkazů na objekty napříč izolovanými původy.
Popis: Existoval problém s únikem dat stavů, který porušoval izolační hranice mezi jednotlivými původy. Problém byl vyřešen vylepšením izolace mezi původy.
CVE-ID
CVE-2015-5827 : Gildas
Načítání stránek ve WebKitu
K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11
Dopad: Protokol WebSocket může obejít vynucování zásad smíšeného obsahu.
Popis: Kvůli problému s nedostatečným vynucováním zásad mohl protokol WebSocket načítat smíšený obsah. Problém byl vyřešen rozšířením vynucování zásad smíšeného obsahu i na WebSocket.
Kevin G. Jones ze společnosti Higher Logic
Plug-iny ve WebKitu
K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11
Dopad: Plug-iny Safari mohou posílat HTTP požadavky, aniž by zjistily, že požadavek byl přesměrován.
Popis: Rozhraní API pro plug-iny Safari nesdělovalo plug-inům, že na straně serveru došlo k přesměrování. To mohlo vést k neoprávněným požadavkům. Problém byl vyřešen vylepšením podpory API.
CVE-ID
CVE-2015-5828 : Lorenzo Fontana
FaceTime není k dispozici ve všech zemích a regionech.
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.