Om sikkerhedsindholdet i Safari 9.1.2

I dette dokument beskrives sikkerhedsindholdet i Safari 9.1.2.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

Safari 9.1.2

WebKit

Tilgængelig til: OS X Mavericks 10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11.6

Effekt: Indlæsning af et skadeligt websted kan medføre kørsel af vilkårlig kode

Beskrivelse: Flere problemer med hukommelseskorruption blev løst gennem bedre hukommelseshåndtering.

CVE-2016-4589: Tongbo Luo og Bo Qu fra Palo Alto Networks

CVE-2016-4622 : Samuel Gross, som arbejder hos Trend Micro's Zero Day

CVE-2016-4623: Apple

CVE-2016-4624: Apple

CVE-2016-4586: Apple

WebKit

Tilgængelig til: OS X Mavericks 10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11.6

Effekt: Et besøg på et skadeligt websted kan medføre visning af billeddata fra et andet websted

Beskrivelse: Der var et tidsrelateret problem under behandlingen af SVG. Problemet er løst ved forbedret godkendelse.

CVE-2016-4583: Roeland Krak

WebKit

Tilgængelig til: OS X Mavericks 10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11.6

Effekt: Indlæsning af et skadeligt websted kan medføre, at systemet afviser at levere den ønskede tjeneste

Beskrivelse: Der var et problem med hukommelsesforbruget, som er løst ved forbedret hukommelsesbehandling.

CVE-2016-4592 : Mikhail

WebKit

Tilgængelig til: OS X Mavericks 10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11.6

Effekt: Indlæsning af et skadeligt websted kan medføre afsløring af følsomme data

Beskrivelse: Der var problemer med tilladelser i forbindelse med håndteringen af lokalitetsvariablen. Dette blev rettet gennem yderligere tjek af ejerskab.

CVE-2016-4591: ma.la fra LINE Corporation

WebKit

Tilgængelig til: OS X Mavericks 10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11.6

Effekt: Indlæsning af et skadeligt websted kan medføre manipulering med brugergrænsefladen

Beskrivelse: Der var et problem med overdragelse af oprindelse i forbindelse med parsing af URL-adresser af typen "om:". Problemet er løst ved forbedret godkendelse af sikkerhedsoprindelser.

CVE-2016-4590: xisigr fra Tencent's Xuanwu Lab (www.tencent.com)

WebKit JavaScript-bindinger

Tilgængelig til: OS X Mavericks 10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11.6

Effekt: Indlæsning af et skadeligt websted kan medføre kørsel af scripts i tjenester, som ikke bruger HTTP

Beskrivelse: Der var et problem i Safari med scripts (XPXSS) på tværs af protokoller og websteder, når der blev indsendt formularer til tjenester, som ikke bruger HTTP, men er kompatible med HTTP/0.9. Problemet blev løst ved at deaktivere scripts og plugins på ressourcer, der indlæses via HTTP/0.9.

CVE-2016-4651 : Obscure

WebKit-sideindlæsning

Tilgængelig til: OS X Mavericks 10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11.6

Effekt: Et skadeligt websted kan eksfiltrere data på tværs af oprindelsessteder

Beskrivelse: Der var et problem med scripts på tværs af websteder i forbindelse med URL-omdirigering i Safari. Problemet er løst ved forbedret validering af URL-adresser i forbindelse med omdirigering.

CVE-2016-4585: Takeshi Terada fra Mitsui Bussan Secure Directions, Inc (www.mbsd.jp)

WebKit-sideindlæsning

Tilgængelig til: OS X Mavericks 10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11.6

Effekt: Indlæsning af et skadeligt websted kan medføre kørsel af vilkårlig kode

Beskrivelse: Flere problemer med hukommelseskorruption blev løst gennem bedre hukommelseshåndtering.

CVE-2016-4584: Chris Vienneau