Informace o bezpečnostním obsahu Safari 9

Tento dokument popisuje bezpečnostní obsah v Safari 9.

Apple v zájmu ochrany zákazníků nezveřejňuje, nerozebírá ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřeny a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

Safari 9

• Safari

  K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11

  Dopad: Návštěva škodlivého webu může vést k falšování uživatelského rozhraní.

  Popis: Více nekonzistentností v uživatelském rozhraní mohlo škodlivým webům umožnit zobrazování libovolných URL adres. Problémy byly vyřešeny lepší logikou zobrazování URL adres.

  CVE-ID

  CVE-2015-5764 : Antonio Sanso (@asanso) ze společnosti Adobe

  CVE-2015-5765 : Ron Masas

  CVE-2015-5767 : Krystian Kloskowski prostřednictvím společnosti Secunia, Masato Kinugawa

• Soubory ke stažení pro Safari

  K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11

  Dopad: Historie karantény v součásti LaunchServices mohla prozradit historii prohlížeče.

  Popis: Přístup k historii karantény v součásti LaunchServices mohl prozradit historii prohlížeče podle stažených souborů. Problém byl vyřešen lepším mazáním historie karantény.

• Rozšíření Safari

  K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11

  Dopad: Může být narušena důvěrnost místní komunikace mezi rozšířeními Safari a doprovodnými aplikacemi.

  Popis: Důvěrnost místní komunikace mezi rozšířeními Safari, například správci hesel, a jejich nativními doprovodnými aplikacemi bylo možné narušit jinou nativní aplikací. Problém byl vyřešen zavedením nového, ověřeného komunikačního kanálu mezi rozšířeními Safari a doprovodnými aplikacemi.

• Rozšíření Safari

  K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11

  Dopad: Rozšíření Safari mohou být na disku nahrazena.

  Popis: Bylo možné nahradit na disku ověřené, uživatelem nainstalované rozšíření Safari, aniž by na to uživatel byl upozorněn. Problém byl vyřešen lepším ověřováním rozšíření.

  CVE-ID

  CVE-2015-5780 : Ben Toms z macmule.com

• Bezpečné prohlížení v Safari

  K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11

  Dopad: Přechod na IP adresu známého škodlivého webu nemusel aktivovat bezpečnostní upozornění.

  Popis: Funkce bezpečného prohlížení v Safari nevarovala uživatele při návštěvě známých škodlivých webů zadáním IP adresy. Problém byl vyřešen lepší detekcí škodlivých webů.

  Rahul M (@rahulmfg) z týmu TagsDock

• WebKit

  K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11

  Dopad: Částečně načtené obrázky mohou získat data napříč původy.

  Popis: V ověřování původu obrázků docházelo ke konfliktu časování. Problém byl vyřešen lepším ověřováním původů zdrojů.

  CVE-ID

  CVE-2015-5788 : Apple

• WebKit

  K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11

  Dopad: Návštěva škodlivého webu mohla vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

  Popis: Ve WebKitu existovalo několik problémů s poškozením paměti. Tyto problémy byly vyřešeny lepší správou paměti.

  CVE-ID

  CVE-2015-5789 : Apple

  CVE-2015-5790 : Apple

  CVE-2015-5791 : Apple

  CVE-2015-5792 : Apple

  CVE-2015-5793 : Apple

  CVE-2015-5794 : Apple

  CVE-2015-5795 : Apple

  CVE-2015-5796 : Apple

  CVE-2015-5797 : Apple

  CVE-2015-5798 : Apple

  CVE-2015-5799 : Apple

  CVE-2015-5800 : Apple

  CVE-2015-5801 : Apple

  CVE-2015-5802 : Apple

  CVE-2015-5803 : Apple

  CVE-2015-5804 : Apple

  CVE-2015-5805

  CVE-2015-5806 : Apple

  CVE-2015-5807 : Apple

  CVE-2015-5808 : Joe Vennix

  CVE-2015-5809 : Apple

  CVE-2015-5810 : Apple

  CVE-2015-5811 : Apple

  CVE-2015-5812 : Apple

  CVE-2015-5813 : Apple

  CVE-2015-5814 : Apple

  CVE-2015-5815 : Apple

  CVE-2015-5816 : Apple

  CVE-2015-5817 : Apple

  CVE-2015-5818 : Apple

  CVE-2015-5819 : Apple

  CVE-2015-5821 : Apple

  CVE-2015-5822 : Mark S. Miller ze společnosti Google

  CVE-2015-5823 : Apple

• WebKit

  K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11

  Dopad: Útočník může vytvořit cookies, které nebyly pro daný web zamýšleny.

  Popis: WebKit umožňoval nastavit v API document.cookie i více různých cookies. Problém byl vyřešen vylepšením zpracovávání.

  CVE-ID

  CVE-2015-3801 : Erling Ellingsen ze společnosti Facebook

• WebKit

  K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11

  Dopad: Performance API umožňuje škodlivým webům zveřejňovat historii prohlížeče, síťovou aktivitu a pohyby myši.

  Dopad: Součást Performance API ve WebKitu umožňovala škodlivým webům měřit čas a pomocí toho zveřejňovat historii prohlížeče, síťovou aktivitu a pohyby myši. Problém byl vyřešen omezením časového rozlišení.

  CVE-ID

  CVE-2015-5825 : Yossi Oren a kol. z laboratoře Network Security na Columbijské univerzitě.

• WebKit

  K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11

  Dopad: Návštěva nebezpečného webu může vést k nezamýšlenému vytáčení.

  Popis: Existoval problém se zpracováváním URL adres typu tel://, facetime://, a facetime-audio://. Problém byl vyřešen lepším zpracováváním URL adres.

  CVE-ID

  CVE-2015-5820 : Guillaume Ross, Andrei Neculaesei

• CSS ve WebKitu

  K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11

  Dopad: Škodlivý web může získat data napříč původy.

  Popis: Safari umožňovalo načítat napříč původy styly obsahující MIME typy, které nejsou součástí CSS, což se dalo zneužít k získání dat napříč původy. Problém byl vyřešen omezením MIME typů u stylů načítaných napříč původy.

  CVE-ID

  CVE-2015-5826 : filedescriptior, Chris Evans

• Javascriptové vazby ve WebKitu

  K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11

  Dopad: U vlastních událostí, událostí zpráv a událostí vyskakovacích stavů může docházet ke zveřejňování odkazů na objekty napříč izolovanými původy.

  Popis: Existoval problém s únikem dat stavů, který porušoval izolační hranice mezi jednotlivými původy. Problém byl vyřešen vylepšením izolace mezi původy.

  CVE-ID

  CVE-2015-5827 : Gildas

• Načítání stránek ve WebKitu

  K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11

  Dopad: Protokol WebSocket může obejít vynucování zásad smíšeného obsahu.

  Popis: Kvůli problému s nedostatečným vynucováním zásad mohl protokol WebSocket načítat smíšený obsah. Problém byl vyřešen rozšířením vynucování zásad smíšeného obsahu i na WebSocket.

  Kevin G. Jones ze společnosti Higher Logic

• Plug-iny ve WebKitu

  K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 a OS X El Capitan 10.11

  Dopad: Plug-iny Safari mohou posílat HTTP požadavky, aniž by zjistily, že požadavek byl přesměrován.

  Popis: Rozhraní API pro plug-iny Safari nesdělovalo plug-inům, že na straně serveru došlo k přesměrování. To mohlo vést k neoprávněným požadavkům. Problém byl vyřešen vylepšením podpory API.

  CVE-ID

  CVE-2015-5828 : Lorenzo Fontana

FaceTime není k dispozici ve všech zemích a regionech.