Sikkerhedsindholdet i Safari 8.0.7, Safari 7.1.7 og Safari 6.2.7

Dette dokument indeholder en beskrivelse af sikkerhedsindholdet i Safari 8.0.7, Safari 7.1.7 og Safari 6.2.7.

Af hensyn til vores kunders sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.

Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

Safari 8.0.7, Safari 7.1.7 og Safari 6.2.7

• WebKit

  Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 og OS X Yosemite v10.10.3

  Effekt: Et skadeligt udformet websted kan få adgang til WebSQL-databaserne på andre websteder

  Beskrivelse: Der var et problem med adgangskontrollogikken for omdøbning af WebSQL-tabeller. Dette kunne givet et skadeligt udformet websted adgang til databaser tilhørende andre websteder. Problemet er løst ved forbedret adgangskontrol.

  CVE-id

  CVE-2015-3727: Peter Rutenbar, som arbejder for HP's Zero Day Initiative

• WebKit-sideindlæsning

  Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 og OS X Yosemite v10.10.3

  Effekt: Et besøg på et skadeligt websted kan medføre overtagelse af konti

  Beskrivelse: Der var et problem med, at Safari kunne gemme de oprindelige anmodnings-headere til cross-origin-omdirigeringer, hvilket gjorde det muligt for skadelige websteder at omgå CSRF-beskyttelse. Dette problem er løst ved forbedret behandling af omdirigeringer.

  CVE-id

  CVE-2015-3658: Brad Hill fra Facebook

• WebKit PDF

  Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 og OS X Yosemite v10.10.3

  Effekt: En skadeligt udformet henvisning i en PDF indlejret i en webside kan medføre cookie-tyveri eller lækage af brugeroplysninger

  Beskrivelse: Der opstod et problem med PDF-indlejrede henvisninger, som kunne køre JavaScript i forbindelse med en host-webside. Problemet er løst ved at begrænse understøttelsen af JavaScript-henvisninger.

  CVE-id

  CVE-2015-3660: Apple

• WebKit-lagring

  Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 og OS X Yosemite v10.10.3

  Effekt: Et besøg på en skadeligt udformet webside kan medføre pludselig programlukning eller kørsel af vilkårlig kode

  Beskrivelse: Der opstod et problem med utilstrækkelig sammenligning i SQLite-godkendelsen, hvilket muliggjorde aktivering af vilkårlige SQL-funktioner. Dette problem er løst ved forbedret adgangskontrol.

  CVE-id

  CVE-2015-3659: Peter Rutenbar, som arbejder for HP's Zero Day Initiative