Om sikkerhedsindholdet i Safari 9

I dette dokument beskrives sikkerhedsindholdet i Safari 9.

Af hensyn til vores kunders sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, skal du gå til webstedet Apple-produktsikkerhed.

Du kan finde flere oplysninger om PGP-nøglen til Apple-produktsikkerhed i artiklen Sådan bruges PGP-nøglen til Apple Produktsikkerhed.

Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan læse om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

Safari 9

  • Safari

    Tilgængelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

    Effekt: Indlæsning af et skadeligt websted kan medføre manipulering med brugergrænsefladen

    Beskrivelse: Flere tilfælde af inkonsistens i brugergrænsefladen kunne gøre det muligt for et skadeligt websted at vise en vilkårlig URL-adresse. Problemerne er løst ved at forbedre visningslogikken for URL-adresser.

    CVE-id

    CVE-2015-5764: Antonio Sanso (@asanso) fra Adobe

    CVE-2015-5765: Ron Masas

    CVE-2015-5767: Krystian Kloskowski via Secunia, Masato Kinugawa

  • Safari Downloads

    Tilgængelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

    Effekt: Karantænehistorien for LaunchServices kan afsløre browserhistorien

    Beskrivelse: Ved adgang til karantænehistorien for LaunchServices kan der være afsløret browserhistorie på baggrund af arkivdownloads. Problemet er løst ved forbedret sletning af karantænehistorien.

  • Safari-udvidelser

    Tilgængelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

    Effekt: Lokal kommunikation mellem Safari-udvidelser og tilhørende apps kan være usikker

    Beskrivelse: Den lokale kommunikation mellem Safari-udvidelser såsom adgangskodeadministratorer og de oprindelige tilhørende programmer kan blive opsnappet af et andet oprindeligt program. Problemet er løst ved at anvende en ny godkendt kommunikationskanal mellem Safari-udvidelser og tilhørende programmer.

  • Safari-udvidelser

    Tilgængelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

    Effekt: Safari-udvidelser kan blive erstattet på disken

    Beskrivelse: En godkendt Safari-udvidelse, der er installeret af brugeren, kan blive erstattet på disken, uden at brugeren spørges. Problemet er løst ved forbedret godkendelse af udvidelser.

    CVE-id

    CVE-2015-5780: Ben Toms fra macmule.com

  • Safari-funktionen sikker browser

    Tilgængelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

    Effekt: Åbning af IP-adressen for et websted, der er kategoriseret som skadeligt, udløser ikke en sikkerhedsadvarsel

    Beskrivelse: Safari-funktionen sikker browser advarede ikke brugerne, hvis de brugte IP-adressen til at åbne websteder, der er kategoriseret som skadelige. Problemet er løst ved forbedret registrering af skadelige websteder.

    Rahul M (@rahulmfg) fra TagsDock

  • WebKit

    Tilgængelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

    Effekt: Delvist indlæste billeder kan eksfiltrere data på tværs af oprindelsessteder

    Beskrivelse: Der var en race condition ved godkendelse af oprindelsessteder for billeder. Problemet er løst ved forbedret godkendelse af oprindelsessteder for ressourcer.

    CVE-id

    CVE-2015-5788: Apple

  • WebKit

    Tilgængelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

    Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var flere problemer med beskadiget hukommelse i WebKit. Problemerne er løst ved forbedret hukommelsesstyring.

    CVE-id

    CVE-2015-5789: Apple

    CVE-2015-5790: Apple

    CVE-2015-5791: Apple

    CVE-2015-5792: Apple

    CVE-2015-5793: Apple

    CVE-2015-5794: Apple

    CVE-2015-5795: Apple

    CVE-2015-5796: Apple

    CVE-2015-5797: Apple

    CVE-2015-5798: Apple

    CVE-2015-5799: Apple

    CVE-2015-5800: Apple

    CVE-2015-5801: Apple

    CVE-2015-5802: Apple

    CVE-2015-5803: Apple

    CVE-2015-5804: Apple

    CVE-2015-5805

    CVE-2015-5806: Apple

    CVE-2015-5807: Apple

    CVE-2015-5808: Joe Vennix

    CVE-2015-5809: Apple

    CVE-2015-5810: Apple

    CVE-2015-5811: Apple

    CVE-2015-5812: Apple

    CVE-2015-5813: Apple

    CVE-2015-5814: Apple

    CVE-2015-5815: Apple

    CVE-2015-5816: Apple

    CVE-2015-5817: Apple

    CVE-2015-5818: Apple

    CVE-2015-5819: Apple

    CVE-2015-5821: Apple

    CVE-2015-5822: Mark S. Miller fra Google

    CVE-2015-5823: Apple

  • WebKit

    Tilgængelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

    Effekt: En hacker kan oprette uønskede cookies for et websted

    Beskrivelse: WebKit accepterede, at der blev indsat flere cookies i document.cookie-API'en. Problemet er løst ved forbedret parsing.

    CVE-id

    CVE-2015-3801: Erling Ellingsen fra Facebook

  • WebKit

    Tilgængelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

    Effekt: Performance-API'en kan gøre det muligt for et skadeligt websted at lække browserhistorie, netværksaktivitet og musebevægelser

    Beskrivelse: WebKits Performance-API kunne gøre det muligt for et skadeligt websted at lække browserhistorie, netværksaktivitet og musebevægelser på baggrund af målingstidspunkt. Problemet er løst ved at begrænse "time resolution".

    CVE-id

    CVE-2015-5825: Yossi Oren m.fl. fra Network Security Lab under Columbia University

  • WebKit

    Tilgængelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

    Effekt: Besøg på et skadeligt websted kan medføre uønskede opkald

    Beskrivelse: Der var et problem med behandling af URL-adresser af typen tel://, facetime:// og facetime-audio://. Problemet er løst ved forbedret behandling af URL-adresser.

    CVE-id

    CVE-2015-5820: Guillaume Ross, Andrei Neculaesei

  • WebKit CSS

    Tilgængelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

    Effekt: Et skadeligt websted kan eksfiltrere data på tværs af oprindelsessteder

    Beskrivelse: Safari tillod, at formatark på tværs af oprindelsessteder blev indlæst med non-CSS MIME-typer, som kunne bruges til at eksfiltrere data på tværs af oprindelsessteder. Problemet er løst ved at begrænse MIME-typer ved formatark på tværs af oprindelsessteder.

    CVE-id

    CVE-2015-5826: filedescriptior, Chris Evans

  • WebKit JavaScript-bindinger

    Tilgængelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

    Effekt: Der kan blive lækket objektreferencer mellem isolerede oprindelsessteder ved tilpassede hændelser, beskedhændelser og popstate-hændelser

    Beskrivelse: Et problem med objektlækage medførte brud på isoleringsgrænsen mellem oprindelsesstederne. Problemet er løst ved forbedret isolering mellem oprindelsesstederne.

    CVE-id

    CVE-2015-5827: Gildas

  • WebKit-sideindlæsning

    Tilgængelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

    Effekt: WebSockets kan tilsidesætte håndhævelse af politikken for blandet indhold

    Beskrivelse: Der var et problem med utilstrækkelig håndhævelse af en politik, hvilket gjorde det muligt for WebSockets at indlæse blandet indhold. Problemet er løst ved at udvide håndhævelsen af politikken for blandet indhold til WebSockets.

    Kevin G. Jones fra Higher Logic

  • WebKit-tilbehør

    Tilgængelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

    Effekt: Safari-tilbehør kan sende en HTTP-forespørgsel uden at vide, at forespørgslen er omdirigeret

    Beskrivelse: Safari-tilbehørets API kommunikerede ikke med tilbehør, at der var sket en omdirigering på serversiden. Det kunne medføre uautoriserede forespørgsler. Problemet er løst ved forbedret API-understøttelse.

    CVE-id

    CVE-2015-5828: Lorenzo Fontana

FaceTime er ikke tilgængelig i alle lande eller områder.

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: