Informationen zum Sicherheitsinhalt von Safari 8.0.8, Safari 7.1.8 und Safari 6.2.8
In diesem Dokument finden Sie Informationen zum Sicherheitsinhalt von Safari 8.0.8, Safari 7.1.8 und Safari 6.2.8.
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.
Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.
Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.
Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.
Safari 8.0.8, Safari 7.1.8 und Safari 6.2.8
Safari-Programm
Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 und OS X Yosemite 10.10.4
Auswirkung: Der Besuch einer schadhaften Website kann zum UI-Spoofing führen
Beschreibung: Eine schadhafte Website könnte eine andere Website öffnen und den Benutzer zur Dialogeingabe auffordern, ohne dass der Benutzer feststellen kann, woher der Dialog stammt. Dieses Problem wurde behoben, indem der Benutzer nun den Ursprung des Dialogs sehen kann.
CVE-ID
CVE-2015-3729: Code Audit Labs von VulnHunt.com
WebKit
Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 und OS X Yosemite 10.10.4
Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: In WebKit gab es mehrere Speicherfehler. Diese Probleme wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-ID
CVE-2015-3730: Apple
CVE-2015-3731: Apple
CVE-2015-3732: Apple
CVE-2015-3733: Apple
CVE-2015-3734: Apple
CVE-2015-3735: Apple
CVE-2015-3736: Apple
CVE-2015-3737: Apple
CVE-2015-3738: Apple
CVE-2015-3739: Apple
CVE-2015-3740: Apple
CVE-2015-3741: Apple
CVE-2015-3742: Apple
CVE-2015-3743: Apple
CVE-2015-3744: Apple
CVE-2015-3745: Apple
CVE-2015-3746: Apple
CVE-2015-3747: Apple
CVE-2015-3748: Apple
CVE-2015-3749: Apple
WebKit
Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 und OS X Yosemite 10.10.4
Auswirkung: Eine schadhafte Website könnte Klartextanfragen an einen Ursprung unter HTTP Strict Transport Security auslösen
Beschreibung: Es bestand ein Problem, bei dem Content Security Policy-Berichtsanfragen die HTTP Strict Transport Security nicht berücksichtigten. Das Problem wurde durch eine bessere Durchsetzung der HTTP Strict Transport Security behoben.
CVE-ID
CVE-2015-3750: Muneaki Nishimura (nishimunea)
WebKit
Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 und OS X Yosemite 10.10.4
Auswirkung: Das Laden von Bildern könnte die Content Security Policy-Richtlinie einer Website verletzen
Beschreibung: Es bestand ein Problem, bei dem Websites mit Videosteuerungen Bilder laden, die in Verletzung der Content Security Policy-Richtlinie der Website in Objektelemente verschachtelt wurden. Dieses Problem wurde durch eine verbesserte Durchsetzung der Content Security Policy behoben.
CVE-ID
CVE-2015-3751: Muneaki Nishimura (nishimunea)
WebKit
Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 und OS X Yosemite 10.10.4
Auswirkung: Content Security Policy-Berichtsanfragen könnten Cookies preisgeben
Beschreibung: Es bestanden zwei Probleme dabei, wie Cookies zu Content Security Policy-Berichtsanfragen hinzugefügt wurden. Cookies wurden in ursprungsübergreifenden Berichtsanfragen entgegen des Standards gesendet. Cookies, die beim normalen Surfen festgelegt wurden, wurden beim privaten Surfen gesendet. Diese Probleme wurden durch eine verbesserte Cookie-Verarbeitung behoben.
CVE-ID
CVE-2015-3752: Muneaki Nishimura (nishimunea)
WebKit Canvas
Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 und OS X Yosemite 10.10.4
Auswirkung: Eine schadhafte Website kann Bilddaten von verschiedenen Quellen exfiltrieren
Beschreibung: Bilder, die durch URLs abgerufen wurden, die auf eine data:image-Ressource umgeleitet wurden, konnten ursprungsübergreifend exfiltriert werden. Das Problem wurde durch ein verbessertes Canvas-Taint-Tracking behoben.
CVE-ID
CVE-2015-3753: Antonio Sanso und Damien Antipa von Adobe
Laden von WebKit-Seite
Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 und OS X Yosemite 10.10.4
Auswirkung: Zwischengespeicherter Authentifizierungsstatus könnte Verlauf beim privaten Surfing offenlegen
Beschreibung: Bei der Zwischenspeicherung der HTTP-Authentifizierung bestand ein Problem. Im privaten Surfingmodus eingegebene Anmeldedaten wurden in reguläre Browsersitzungen übertragen, was Teile des Verlaufs der privaten Browsersitzung des Benutzers offenlegen kann. Dieses Problem wurde durch verbesserte Cache-Beschränkungen behoben.
CVE-ID
CVE-2015-3754: Dongsung Kim (@kid1ng)
WebKit-Prozessmodell
Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 und OS X Yosemite 10.10.4
Auswirkung: Der Besuch einer schadhaften Website kann zum UI-Spoofing führen
Beschreibung: Die Navigation zu einer manipulierten URL konnte einer Schadwebsite erlauben, eine willkürliche URL anzuzeigen. Dieses Problem wurde durch eine verbesserte URL-Verarbeitung behoben.
CVE-ID
CVE-2015-3755: xisigr von Tencent's Xuanwu Lab
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.