Sikkerhedsindholdet i Safari 8.0.8, Safari 7.1.8 og Safari 6.2.8

Dette dokument indeholder en beskrivelse af sikkerhedsindholdet i Safari 8.0.8, Safari 7.1.8 og Safari 6.2.8.

Af hensyn til vores kunders sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.

Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan læse om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

Safari 8.0.8, Safari 7.1.8 og Safari 6.2.8

  • Programmet Safari

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 og OS X Yosemite v10.10.4

    Effekt: Indlæsning af et skadeligt websted kan medføre manipulation med brugergrænsefladen

    Beskrivelse: Et skadeligt websted kunne åbne en anden side og bede om handling fra brugeren, uden at brugeren kan se, hvor vinduet kom fra. Problemet blev løst ved at vise vinduets oprindelse for brugeren.

    CVE-id

    CVE-2015-3729: Code Audit Labs of VulnHunt.com

  • WebKit

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 og OS X Yosemite v10.10.4

    Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var flere problemer med beskadiget hukommelse i WebKit. Problemerne er løst ved forbedret hukommelsesstyring.

    CVE-id

    CVE-2015-3730: Apple

    CVE-2015-3731: Apple

    CVE-2015-3732: Apple

    CVE-2015-3733: Apple

    CVE-2015-3734: Apple

    CVE-2015-3735: Apple

    CVE-2015-3736: Apple

    CVE-2015-3737: Apple

    CVE-2015-3738: Apple

    CVE-2015-3739: Apple

    CVE-2015-3740: Apple

    CVE-2015-3741: Apple

    CVE-2015-3742: Apple

    CVE-2015-3743: Apple

    CVE-2015-3744: Apple

    CVE-2015-3745: Apple

    CVE-2015-3746: Apple

    CVE-2015-3747: Apple

    CVE-2015-3748: Apple

    CVE-2015-3749: Apple

  • WebKit

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 og OS X Yosemite v10.10.4

    Effekt: Et skadeligt websted kan udløse klartekstforespørgsler til et oprindelsessted under HSTS (HTTP Strict Transport Security)

    Beskrivelse: Der var et problem med, at Content Security Policy-rapportforespørgsler ikke ville acceptere HSTS. Problemet er løst ved forbedret gennemførelse af HSTS.

    CVE-id

    CVE-2015-3750: Muneaki Nishimura (nishimunea)

  • WebKit

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 og OS X Yosemite v10.10.4

    Effekt: Billedindlæsning kunne udgøre en overtrædelse af et websteds Content Security Policy-instruks

    Beskrivelse: Der var et problem med, at websteder med videobetjeningselementer indlæste billeder indlejret i objektelementer i modstrid med webstedets Content Security Policy-instruks. Problemet er løst ved forbedret gennemførelse af Content Security Policy.

    CVE-id

    CVE-2015-3751: Muneaki Nishimura (nishimunea)

  • WebKit

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 og OS X Yosemite v10.10.4

    Effekt: Content Security Policy-rapportforespørgsler kan lække cookies

    Beskrivelse: Der var to problemer med, hvordan cookies blev føjet til Content Security Policy-rapportforespørgsler. Cookies blev sendt i rapportforespørgsler på tværs af oprindelsessteder i modstrid med standarden. Cookies, der er arkiveret under almindelig brug af browseren, blev sendt under brug af funktionen Privat browser. Problemerne er løst ved forbedret cookiebehandling.

    CVE-id

    CVE-2015-3752: Muneaki Nishimura (nishimunea)

  • WebKit Canvas

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 og OS X Yosemite v10.10.4

    Effekt: Et skadeligt websted kan eksfiltrere billeddata på tværs af oprindelsessteder

    Beskrivelse: Billeder, der er hentet via URL-adresser, som omdirigerer til en data:image-ressource, kan være eksfiltreret på tværs af oprindelsessteder. Problemet er løst ved forbedret sporing af "canvas taint".

    CVE-id

    CVE-2015-3753: Antonio Sanso og Damien Antipa fra Adobe

  • WebKit-sideindlæsning

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 og OS X Yosemite v10.10.4

    Effekt: Cachelagret godkendelse kan afsløre historie fra Privat browser

    Beskrivelse: Der opstod et problem ved cachelagring af HTTP-godkendelse. Adgangsoplysninger, der blev indtastet i funktionen Privat browser, blev overført til almindelig brug af browseren, så dele af brugerens historie fra Privat browser blev afsløret. Problemet er løst ved forbedret begrænsning af cachelagring.

    CVE-id

    CVE-2015-3754: Dongsung Kim (@kid1ng)

  • WebKit-procesmodel

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 og OS X Yosemite v10.10.4

    Effekt: Indlæsning af et skadeligt websted kan medføre manipulation med brugergrænsefladen

    Beskrivelse: Ved navigation til en fejlbehæftet URL-adresse kan et skadeligt websted have fået lov til at vise en vilkårlig URL-adresse. Problemet er løst ved forbedret behandling af URL-adresser.

    CVE-id

    CVE-2015-3755: xisigr fra Tencents Xuanwu Lab

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: