Informace o bezpečnostním obsahu Safari 9

Tento dokument popisuje bezpečnostní obsah v Safari 9.

Apple v zájmu ochrany zákazníků nezveřejňuje, nerozebírá ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřeny a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

Safari 9

  • Safari

    K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11

    Dopad: Návštěva škodlivého webu může vést k falšování uživatelského rozhraní.

    Popis: Více nekonzistentností v uživatelském rozhraní mohlo škodlivým webům umožnit zobrazování libovolných URL adres. Problémy byly vyřešeny lepší logikou zobrazování URL adres.

    CVE-ID

    CVE-2015-5764 : Antonio Sanso (@asanso) ze společnosti Adobe

    CVE-2015-5765 : Ron Masas

    CVE-2015-5767 : Krystian Kloskowski prostřednictvím společnosti Secunia, Masato Kinugawa

  • Soubory ke stažení pro Safari

    K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11

    Dopad: Historie karantény v součásti LaunchServices mohla prozradit historii prohlížeče.

    Popis: Přístup k historii karantény v součásti LaunchServices mohl prozradit historii prohlížeče podle stažených souborů. Problém byl vyřešen lepším mazáním historie karantény.

  • Rozšíření Safari

    K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11

    Dopad: Může být narušena důvěrnost místní komunikace mezi rozšířeními Safari a doprovodnými aplikacemi.

    Popis: Důvěrnost místní komunikace mezi rozšířeními Safari, například správci hesel, a jejich nativními doprovodnými aplikacemi bylo možné narušit jinou nativní aplikací. Problém byl vyřešen zavedením nového, ověřeného komunikačního kanálu mezi rozšířeními Safari a doprovodnými aplikacemi.

  • Rozšíření Safari

    K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11

    Dopad: Rozšíření Safari mohou být na disku nahrazena.

    Popis: Bylo možné nahradit na disku ověřené, uživatelem nainstalované rozšíření Safari, aniž by na to uživatel byl upozorněn. Problém byl vyřešen lepším ověřováním rozšíření.

    CVE-ID

    CVE-2015-5780 : Ben Toms z macmule.com

  • Bezpečné prohlížení v Safari

    K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11

    Dopad: Přechod na IP adresu známého škodlivého webu nemusel aktivovat bezpečnostní upozornění.

    Popis: Funkce bezpečného prohlížení v Safari nevarovala uživatele při návštěvě známých škodlivých webů zadáním IP adresy. Problém byl vyřešen lepší detekcí škodlivých webů.

    Rahul M (@rahulmfg) z týmu TagsDock

  • WebKit

    K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11

    Dopad: Částečně načtené obrázky mohou získat data napříč původy.

    Popis: V ověřování původu obrázků docházelo ke konfliktu časování. Problém byl vyřešen lepším ověřováním původů zdrojů.

    CVE-ID

    CVE-2015-5788 : Apple

  • WebKit

    K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11

    Dopad: Návštěva škodlivého webu mohla vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Ve WebKitu existovalo několik problémů s poškozením paměti. Tyto problémy byly vyřešeny lepší správou paměti.

    CVE-ID

    CVE-2015-5789 : Apple

    CVE-2015-5790 : Apple

    CVE-2015-5791 : Apple

    CVE-2015-5792 : Apple

    CVE-2015-5793 : Apple

    CVE-2015-5794 : Apple

    CVE-2015-5795 : Apple

    CVE-2015-5796 : Apple

    CVE-2015-5797 : Apple

    CVE-2015-5798 : Apple

    CVE-2015-5799 : Apple

    CVE-2015-5800 : Apple

    CVE-2015-5801 : Apple

    CVE-2015-5802 : Apple

    CVE-2015-5803 : Apple

    CVE-2015-5804 : Apple

    CVE-2015-5805

    CVE-2015-5806 : Apple

    CVE-2015-5807 : Apple

    CVE-2015-5808 : Joe Vennix

    CVE-2015-5809 : Apple

    CVE-2015-5810 : Apple

    CVE-2015-5811 : Apple

    CVE-2015-5812 : Apple

    CVE-2015-5813 : Apple

    CVE-2015-5814 : Apple

    CVE-2015-5815 : Apple

    CVE-2015-5816 : Apple

    CVE-2015-5817 : Apple

    CVE-2015-5818 : Apple

    CVE-2015-5819 : Apple

    CVE-2015-5821 : Apple

    CVE-2015-5822 : Mark S. Miller ze společnosti Google

    CVE-2015-5823 : Apple

  • WebKit

    K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11

    Dopad: Útočník může vytvořit cookies, které nebyly pro daný web zamýšleny.

    Popis: WebKit umožňoval nastavit v API document.cookie i více různých cookies. Problém byl vyřešen vylepšením zpracovávání.

    CVE-ID

    CVE-2015-3801 : Erling Ellingsen ze společnosti Facebook

  • WebKit

    K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11

    Dopad: Performance API umožňuje škodlivým webům zveřejňovat historii prohlížeče, síťovou aktivitu a pohyby myši.

    Dopad: Součást Performance API ve WebKitu umožňovala škodlivým webům měřit čas a pomocí toho zveřejňovat historii prohlížeče, síťovou aktivitu a pohyby myši. Problém byl vyřešen omezením časového rozlišení.

    CVE-ID

    CVE-2015-5825 : Yossi Oren a kol. z laboratoře Network Security na Columbijské univerzitě.

  • WebKit

    K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11

    Dopad: Návštěva nebezpečného webu může vést k nezamýšlenému vytáčení.

    Popis: Existoval problém se zpracováváním URL adres typu tel://, facetime://, a facetime-audio://. Problém byl vyřešen lepším zpracováváním URL adres.

    CVE-ID

    CVE-2015-5820 : Guillaume Ross, Andrei Neculaesei

  • CSS ve WebKitu

    K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11

    Dopad: Škodlivý web může získat data napříč původy.

    Popis: Safari umožňovalo načítat napříč původy styly obsahující MIME typy, které nejsou součástí CSS, což se dalo zneužít k získání dat napříč původy. Problém byl vyřešen omezením MIME typů u stylů načítaných napříč původy.

    CVE-ID

    CVE-2015-5826 : filedescriptior, Chris Evans

  • Javascriptové vazby ve WebKitu

    K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11

    Dopad: U vlastních událostí, událostí zpráv a událostí vyskakovacích stavů může docházet ke zveřejňování odkazů na objekty napříč izolovanými původy.

    Popis: Existoval problém s únikem dat stavů, který porušoval izolační hranice mezi jednotlivými původy. Problém byl vyřešen vylepšením izolace mezi původy.

    CVE-ID

    CVE-2015-5827 : Gildas

  • Načítání stránek ve WebKitu

    K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11

    Dopad: Protokol WebSocket může obejít vynucování zásad smíšeného obsahu.

    Popis: Kvůli problému s nedostatečným vynucováním zásad mohl protokol WebSocket načítat smíšený obsah. Problém byl vyřešen rozšířením vynucování zásad smíšeného obsahu i na WebSocket.

    Kevin G. Jones ze společnosti Higher Logic

  • Plug-iny ve WebKitu

    K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11

    Dopad: Plug-iny Safari mohou posílat HTTP požadavky, aniž by zjistily, že požadavek byl přesměrován.

    Popis: Rozhraní API pro plug-iny Safari nesdělovalo plug-inům, že na straně serveru došlo k přesměrování. To mohlo vést k neoprávněným požadavkům. Problém byl vyřešen vylepšením podpory API.

    CVE-ID

    CVE-2015-5828 : Lorenzo Fontana

FaceTime není k dispozici ve všech zemích a regionech.

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.

Datum zveřejnění: