Informationen zum Sicherheitsinhalt von Safari 9.1

In diesem Dokument wird der Sicherheitsinhalt von Safari 9.1 beschrieben.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.

Safari 9.1

• Safari

  Verfügbar für: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 und OS X El Capitan 10.11.4

  Auswirkung: Eine in böser Absicht erstellte Website kann Elemente der Benutzeroberfläche fälschen (UI-Spoofing)

  Beschreibung: Es bestand ein Problem, bei dem ein Dialogfeld Text enthielt, der von der Webseite stammte. Dieses Problem wurde behoben, indem dieser Text nicht mehr eingebunden wird.

  CVE-ID

  CVE-2009-2197: Alexios Fakos von der n.runs AG

• Safari-Downloads

  Verfügbar für: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 und OS X El Capitan 10.11.4

  Auswirkung: Das Aufrufen einer in böser Absicht erstellten Webseite kann zu einem Denial-of-Service des Systems führen

  Beschreibung: Bei der Verarbeitung bestimmter Dateien erfolgte eine unzureichende Eingabevalidierung. Dieses Problem wurde durch zusätzliche Überprüfungen bei der Dateiexpansion behoben.

  CVE-ID

  CVE-2016-1771: Russ Cox

• Safari Top Sites

  Verfügbar für: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 und OS X El Capitan 10.11.4

  Auswirkung: Eine Website kann unter Umständen vertrauliche Benutzerdaten erfassen

  Beschreibung: Auf der Top Sites-Seite bestand ein Problem mit der Speicherung von Cookies. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

  CVE-ID

  CVE-2016-1772: WoofWagly

• WebKit

  Verfügbar für: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 und OS X El Capitan 10.11.4

  Auswirkung: Eine Website kann unter Umständen vertrauliche Benutzerdaten erfassen

  Beschreibung: Es bestand ein Problem mit der Verarbeitung von Anhang-URLs. Dieses Problem wurde durch eine verbesserte URL-Verarbeitung behoben.

  CVE-ID

  CVE-2016-1781: Devdatta Akhawe von Dropbox, Inc.

• WebKit

  Verfügbar für: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 und OS X El Capitan 10.11.4

  Auswirkung: Die Verarbeitung von in böser Absicht erstellten Web-Inhalten kann zur Ausführung willkürlichen Codes führen

  Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

  CVE-ID

  CVE-2016-1778: 0x1byte in Zusammenarbeit mit der Zero Day Initiative (ZDI) von Trend Micro und Yang Zhao von CM Security

  CVE-2016-1783: Mihai Parparita von Google

• WebKit

  Verfügbar für: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 und OS X El Capitan 10.11.4

  Auswirkung: Eine in böser Absicht erstellte Website kann über beliebige Server auf eingeschränkte Ports zugreifen

  Beschreibung: Ein Problem mit der Portweiterleitung konnte dank zusätzlicher Portüberprüfungen behoben werden.

  CVE-ID

  CVE-2016-1782: Muneaki Nishimura (nishimunea) von Recruit Technologies Co. Ltd.

• WebKit

  Verfügbar für: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 und OS X El Capitan 10.11.4

  Auswirkung: Das Aufrufen einer in böser Absicht erstellten Website kann unter Umständen den aktuellen Standort eines Benutzers offenlegen

  Beschreibung: Beim Parsen von Geolocation-Anfragen bestand ein Problem. Dieses wurde durch eine verbesserte Überprüfung des Sicherheitsursprungs für Geolocation-Anfragen behoben.

  CVE-ID

  CVE-2016-1779: xisigr, Xuanwu Lab von Tencent (www.tencent.com)

• WebKit

  Verfügbar für: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 und OS X El Capitan 10.11.4

  Auswirkung: Das Aufrufen einer in böser Absicht erstellten URL kann zur Offenlegung vertraulicher Benutzerdaten führen

  Beschreibung: Es bestand ein Problem mit der URL-Weiterleitung, wenn XXS Auditor im Blockmodus verwendet wurde. Dieses Problem wurde durch eine verbesserte URL-Navigation behoben.

  CVE-ID

  CVE-2016-1864: Takeshi Terada von Mitsui Bussan Secure Directions, Inc.

• WebKit-Verlauf

  Verfügbar für: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 und OS X El Capitan 10.11.4

  Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Programmabbruch von Safari führen

  Beschreibung: Es wurde ein Problem mit der Ressourcenausschöpfung behoben, indem eine bessere Eingabeüberprüfung erfolgt.

  CVE-ID

  CVE-2016-1784 : Moony Li und Jack Tang, TrendMicro, und 李普君 of 无声信息技术PKKAV Team (PKAV.net)

• Laden der WebKit-Seite

  Verfügbar für: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 und OS X El Capitan 10.11.4

  Auswirkung: Eine in böser Absicht erstellte Website kann Daten von verschiedenen Quellen exfiltrieren

  Beschreibung: Bei der Zeichencodierung ist ein Caching-Fehler aufgetreten. Dieses Problem wurde durch eine zusätzliche Anfrageprüfung behoben.

  CVE-ID

  CVE-2016-1785: ein anonymer Forscher

• Laden der WebKit-Seite

  Verfügbar für: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 und OS X El Capitan 10.11.4

  Auswirkung: Eine in böser Absicht erstellte Website kann Elemente der Benutzeroberfläche fälschen (UI-Spoofing)

  Beschreibung: Weiterleitungsantworten haben es einer in böser Absicht erstellten Website ermöglicht, eine beliebige URL anzuzeigen und zwischengespeicherte Inhalte des Zielursprungs zu lesen. Dieses Problem wurde durch eine verbesserte URL-Anzeigelogik behoben.

  CVE-ID

  CVE-2016-1786: ma.la, LINE Corporation