Informationen zum Sicherheitsinhalt von Safari 8.0.8, Safari 7.1.8 und Safari 6.2.8

In diesem Dokument finden Sie Informationen zum Sicherheitsinhalt von Safari 8.0.8, Safari 7.1.8 und Safari 6.2.8.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.

Safari 8.0.8, Safari 7.1.8 und Safari 6.2.8

• Safari-Programm

  Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 und OS X Yosemite 10.10.4

  Auswirkung: Der Besuch einer schadhaften Website kann zum UI-Spoofing führen

  Beschreibung: Eine schadhafte Website könnte eine andere Website öffnen und den Benutzer zur Dialogeingabe auffordern, ohne dass der Benutzer feststellen kann, woher der Dialog stammt. Dieses Problem wurde behoben, indem der Benutzer nun den Ursprung des Dialogs sehen kann.

  CVE-ID

  CVE-2015-3729: Code Audit Labs von VulnHunt.com

• WebKit

  Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 und OS X Yosemite 10.10.4

  Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

  Beschreibung: In WebKit gab es mehrere Speicherfehler. Diese Probleme wurden durch eine verbesserte Speicherverwaltung behoben.

  CVE-ID

  CVE-2015-3730: Apple

  CVE-2015-3731: Apple

  CVE-2015-3732: Apple

  CVE-2015-3733: Apple

  CVE-2015-3734: Apple

  CVE-2015-3735: Apple

  CVE-2015-3736: Apple

  CVE-2015-3737: Apple

  CVE-2015-3738: Apple

  CVE-2015-3739: Apple

  CVE-2015-3740: Apple

  CVE-2015-3741: Apple

  CVE-2015-3742: Apple

  CVE-2015-3743: Apple

  CVE-2015-3744: Apple

  CVE-2015-3745: Apple

  CVE-2015-3746: Apple

  CVE-2015-3747: Apple

  CVE-2015-3748: Apple

  CVE-2015-3749: Apple

• WebKit

  Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 und OS X Yosemite 10.10.4

  Auswirkung: Eine schadhafte Website könnte Klartextanfragen an einen Ursprung unter HTTP Strict Transport Security auslösen

  Beschreibung: Es bestand ein Problem, bei dem Content Security Policy-Berichtsanfragen die HTTP Strict Transport Security nicht berücksichtigten. Das Problem wurde durch eine bessere Durchsetzung der HTTP Strict Transport Security behoben.

  CVE-ID

  CVE-2015-3750: Muneaki Nishimura (nishimunea)

• WebKit

  Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 und OS X Yosemite 10.10.4

  Auswirkung: Das Laden von Bildern könnte die Content Security Policy-Richtlinie einer Website verletzen

  Beschreibung: Es bestand ein Problem, bei dem Websites mit Videosteuerungen Bilder laden, die in Verletzung der Content Security Policy-Richtlinie der Website in Objektelemente verschachtelt wurden. Dieses Problem wurde durch eine verbesserte Durchsetzung der Content Security Policy behoben.

  CVE-ID

  CVE-2015-3751: Muneaki Nishimura (nishimunea)

• WebKit

  Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 und OS X Yosemite 10.10.4

  Auswirkung: Content Security Policy-Berichtsanfragen könnten Cookies preisgeben

  Beschreibung: Es bestanden zwei Probleme dabei, wie Cookies zu Content Security Policy-Berichtsanfragen hinzugefügt wurden. Cookies wurden in ursprungsübergreifenden Berichtsanfragen entgegen des Standards gesendet. Cookies, die beim normalen Surfen festgelegt wurden, wurden beim privaten Surfen gesendet. Diese Probleme wurden durch eine verbesserte Cookie-Verarbeitung behoben.

  CVE-ID

  CVE-2015-3752: Muneaki Nishimura (nishimunea)

• WebKit Canvas

  Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 und OS X Yosemite 10.10.4

  Auswirkung: Eine schadhafte Website kann Bilddaten von verschiedenen Quellen exfiltrieren

  Beschreibung: Bilder, die durch URLs abgerufen wurden, die auf eine data:image-Ressource umgeleitet wurden, konnten ursprungsübergreifend exfiltriert werden. Das Problem wurde durch ein verbessertes Canvas-Taint-Tracking behoben.

  CVE-ID

  CVE-2015-3753: Antonio Sanso und Damien Antipa von Adobe

• Laden von WebKit-Seite

  Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 und OS X Yosemite 10.10.4

  Auswirkung: Zwischengespeicherter Authentifizierungsstatus könnte Verlauf beim privaten Surfing offenlegen

  Beschreibung: Bei der Zwischenspeicherung der HTTP-Authentifizierung bestand ein Problem. Im privaten Surfingmodus eingegebene Anmeldedaten wurden in reguläre Browsersitzungen übertragen, was Teile des Verlaufs der privaten Browsersitzung des Benutzers offenlegen kann. Dieses Problem wurde durch verbesserte Cache-Beschränkungen behoben.

  CVE-ID

  CVE-2015-3754: Dongsung Kim (@kid1ng)

• WebKit-Prozessmodell

  Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 und OS X Yosemite 10.10.4

  Auswirkung: Der Besuch einer schadhaften Website kann zum UI-Spoofing führen

  Beschreibung: Die Navigation zu einer manipulierten URL konnte einer Schadwebsite erlauben, eine willkürliche URL anzuzeigen. Dieses Problem wurde durch eine verbesserte URL-Verarbeitung behoben.

  CVE-ID

  CVE-2015-3755: xisigr von Tencent's Xuanwu Lab