Informationen zum Sicherheitsinhalt von Safari 9.1
In diesem Dokument wird der Sicherheitsinhalt von Safari 9.1 beschrieben.
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.
Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.
Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.
Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.
Safari 9.1
Safari
Verfügbar für: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 und OS X El Capitan 10.11.4
Auswirkung: Eine in böser Absicht erstellte Website kann Elemente der Benutzeroberfläche fälschen (UI-Spoofing)
Beschreibung: Es bestand ein Problem, bei dem ein Dialogfeld Text enthielt, der von der Webseite stammte. Dieses Problem wurde behoben, indem dieser Text nicht mehr eingebunden wird.
CVE-ID
CVE-2009-2197: Alexios Fakos von der n.runs AG
Safari-Downloads
Verfügbar für: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 und OS X El Capitan 10.11.4
Auswirkung: Das Aufrufen einer in böser Absicht erstellten Webseite kann zu einem Denial-of-Service des Systems führen
Beschreibung: Bei der Verarbeitung bestimmter Dateien erfolgte eine unzureichende Eingabevalidierung. Dieses Problem wurde durch zusätzliche Überprüfungen bei der Dateiexpansion behoben.
CVE-ID
CVE-2016-1771: Russ Cox
Safari Top Sites
Verfügbar für: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 und OS X El Capitan 10.11.4
Auswirkung: Eine Website kann unter Umständen vertrauliche Benutzerdaten erfassen
Beschreibung: Auf der Top Sites-Seite bestand ein Problem mit der Speicherung von Cookies. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-ID
CVE-2016-1772: WoofWagly
WebKit
Verfügbar für: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 und OS X El Capitan 10.11.4
Auswirkung: Eine Website kann unter Umständen vertrauliche Benutzerdaten erfassen
Beschreibung: Es bestand ein Problem mit der Verarbeitung von Anhang-URLs. Dieses Problem wurde durch eine verbesserte URL-Verarbeitung behoben.
CVE-ID
CVE-2016-1781: Devdatta Akhawe von Dropbox, Inc.
WebKit
Verfügbar für: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 und OS X El Capitan 10.11.4
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Web-Inhalten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-ID
CVE-2016-1778: 0x1byte in Zusammenarbeit mit der Zero Day Initiative (ZDI) von Trend Micro und Yang Zhao von CM Security
CVE-2016-1783: Mihai Parparita von Google
WebKit
Verfügbar für: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 und OS X El Capitan 10.11.4
Auswirkung: Eine in böser Absicht erstellte Website kann über beliebige Server auf eingeschränkte Ports zugreifen
Beschreibung: Ein Problem mit der Portweiterleitung konnte dank zusätzlicher Portüberprüfungen behoben werden.
CVE-ID
CVE-2016-1782: Muneaki Nishimura (nishimunea) von Recruit Technologies Co. Ltd.
WebKit
Verfügbar für: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 und OS X El Capitan 10.11.4
Auswirkung: Das Aufrufen einer in böser Absicht erstellten Website kann unter Umständen den aktuellen Standort eines Benutzers offenlegen
Beschreibung: Beim Parsen von Geolocation-Anfragen bestand ein Problem. Dieses wurde durch eine verbesserte Überprüfung des Sicherheitsursprungs für Geolocation-Anfragen behoben.
CVE-ID
CVE-2016-1779: xisigr, Xuanwu Lab von Tencent (www.tencent.com)
WebKit
Verfügbar für: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 und OS X El Capitan 10.11.4
Auswirkung: Das Aufrufen einer in böser Absicht erstellten URL kann zur Offenlegung vertraulicher Benutzerdaten führen
Beschreibung: Es bestand ein Problem mit der URL-Weiterleitung, wenn XXS Auditor im Blockmodus verwendet wurde. Dieses Problem wurde durch eine verbesserte URL-Navigation behoben.
CVE-ID
CVE-2016-1864: Takeshi Terada von Mitsui Bussan Secure Directions, Inc.
WebKit-Verlauf
Verfügbar für: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 und OS X El Capitan 10.11.4
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem unerwarteten Programmabbruch von Safari führen
Beschreibung: Es wurde ein Problem mit der Ressourcenausschöpfung behoben, indem eine bessere Eingabeüberprüfung erfolgt.
CVE-ID
CVE-2016-1784 : Moony Li und Jack Tang, TrendMicro, und 李普君 of 无声信息技术PKKAV Team (PKAV.net)
Laden der WebKit-Seite
Verfügbar für: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 und OS X El Capitan 10.11.4
Auswirkung: Eine in böser Absicht erstellte Website kann Daten von verschiedenen Quellen exfiltrieren
Beschreibung: Bei der Zeichencodierung ist ein Caching-Fehler aufgetreten. Dieses Problem wurde durch eine zusätzliche Anfrageprüfung behoben.
CVE-ID
CVE-2016-1785: ein anonymer Forscher
Laden der WebKit-Seite
Verfügbar für: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 und OS X El Capitan 10.11.4
Auswirkung: Eine in böser Absicht erstellte Website kann Elemente der Benutzeroberfläche fälschen (UI-Spoofing)
Beschreibung: Weiterleitungsantworten haben es einer in böser Absicht erstellten Website ermöglicht, eine beliebige URL anzuzeigen und zwischengespeicherte Inhalte des Zielursprungs zu lesen. Dieses Problem wurde durch eine verbesserte URL-Anzeigelogik behoben.
CVE-ID
CVE-2016-1786: ma.la, LINE Corporation
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.