Om sikkerhedsindholdet i Safari 9.1.2
I dette dokument beskrives sikkerhedsindholdet i Safari 9.1.2.
Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.
Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.
Safari 9.1.2
WebKit
Tilgængelig til: OS X Mavericks 10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11.6
Effekt: Indlæsning af et skadeligt websted kan medføre kørsel af vilkårlig kode
Beskrivelse: Flere problemer med hukommelseskorruption blev løst gennem bedre hukommelseshåndtering.
CVE-2016-4589: Tongbo Luo og Bo Qu fra Palo Alto Networks
CVE-2016-4622 : Samuel Gross, som arbejder hos Trend Micro's Zero Day
CVE-2016-4623: Apple
CVE-2016-4624: Apple
CVE-2016-4586: Apple
WebKit
Tilgængelig til: OS X Mavericks 10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11.6
Effekt: Et besøg på et skadeligt websted kan medføre visning af billeddata fra et andet websted
Beskrivelse: Der var et tidsrelateret problem under behandlingen af SVG. Problemet er løst ved forbedret godkendelse.
CVE-2016-4583: Roeland Krak
WebKit
Tilgængelig til: OS X Mavericks 10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11.6
Effekt: Indlæsning af et skadeligt websted kan medføre, at systemet afviser at levere den ønskede tjeneste
Beskrivelse: Der var et problem med hukommelsesforbruget, som er løst ved forbedret hukommelsesbehandling.
CVE-2016-4592 : Mikhail
WebKit
Tilgængelig til: OS X Mavericks 10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11.6
Effekt: Indlæsning af et skadeligt websted kan medføre afsløring af følsomme data
Beskrivelse: Der var problemer med tilladelser i forbindelse med håndteringen af lokalitetsvariablen. Dette blev rettet gennem yderligere tjek af ejerskab.
CVE-2016-4591: ma.la fra LINE Corporation
WebKit
Tilgængelig til: OS X Mavericks 10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11.6
Effekt: Indlæsning af et skadeligt websted kan medføre manipulering med brugergrænsefladen
Beskrivelse: Der var et problem med overdragelse af oprindelse i forbindelse med parsing af URL-adresser af typen "om:". Problemet er løst ved forbedret godkendelse af sikkerhedsoprindelser.
CVE-2016-4590: xisigr fra Tencent's Xuanwu Lab (www.tencent.com)
WebKit JavaScript-bindinger
Tilgængelig til: OS X Mavericks 10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11.6
Effekt: Indlæsning af et skadeligt websted kan medføre kørsel af scripts i tjenester, som ikke bruger HTTP
Beskrivelse: Der var et problem i Safari med scripts (XPXSS) på tværs af protokoller og websteder, når der blev indsendt formularer til tjenester, som ikke bruger HTTP, men er kompatible med HTTP/0.9. Problemet blev løst ved at deaktivere scripts og plugins på ressourcer, der indlæses via HTTP/0.9.
CVE-2016-4651 : Obscure
WebKit-sideindlæsning
Tilgængelig til: OS X Mavericks 10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11.6
Effekt: Et skadeligt websted kan eksfiltrere data på tværs af oprindelsessteder
Beskrivelse: Der var et problem med scripts på tværs af websteder i forbindelse med URL-omdirigering i Safari. Problemet er løst ved forbedret validering af URL-adresser i forbindelse med omdirigering.
CVE-2016-4585: Takeshi Terada fra Mitsui Bussan Secure Directions, Inc (www.mbsd.jp)
WebKit-sideindlæsning
Tilgængelig til: OS X Mavericks 10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11.6
Effekt: Indlæsning af et skadeligt websted kan medføre kørsel af vilkårlig kode
Beskrivelse: Flere problemer med hukommelseskorruption blev løst gennem bedre hukommelseshåndtering.
CVE-2016-4584: Chris Vienneau
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.