Informationen zum Sicherheitsinhalt von Safari 9

In diesem Dokument wird der Sicherheitsinhalt von Safari 9 beschrieben.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.

Safari 9

  • Safari

    Verfügbar für: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 und OS X El Capitan 10.11

    Auswirkung: Der Besuch einer schadhaften Website kann zum UI-Spoofing führen

    Beschreibung: Verschiedene Inkonsistenzen in der Benutzeroberfläche haben eventuell bewirkt, dass eine schadhafte Website eine willkürliche URL anzeigen konnte. Diese Probleme wurden durch eine verbesserte Logik der URL-Anzeige behoben.

    CVE-ID

    CVE-2015-5764: Antonio Sanso (@asanso) von Adobe

    CVE-2015-5765: Ron Masas

    CVE-2015-5767: Krystian Kloskowski von Secunia, Masato Kinugawa

  • Safari-Downloads

    Verfügbar für: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 und OS X El Capitan 10.11

    Auswirkung: Quarantäneverzeichnis von LaunchServices kann Aufschluss über den Browserverlauf geben

    Beschreibung: Das Quarantäneverzeichnis von LaunchServices konnte basierend auf geladenen Dateien Aufschluss über den Browserverlauf geben. Das Problem wurde durch eine Optimierung der Löschvorgänge im Quarantäneverzeichnis behoben.

  • Safari-Erweiterungen

    Verfügbar für: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 und OS X El Capitan 10.11

    Auswirkung: Lokale Kommunikation zwischen Safari-Erweiterungen und zugehörigen Apps konnte gestört werden

    Beschreibung: Die lokale Kommunikation zwischen Safari-Erweiterungen, wie Passwortmanagern, und den zugehörigen nativen Apps konnte durch eine andere native App gestört werden. Dieses Problem wurde mithilfe eines neuen, authentifizierten Kommunikationskanals zwischen Safari-Erweiterungen und zugehörigen Apps behoben.

  • Safari-Erweiterungen

    Verfügbar für: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 und OS X El Capitan 10.11

    Auswirkung: Safari-Erweiterungen konnten auf der Festplatte ersetzt werden

    Beschreibung: Eine validierte, vom Benutzer installierte Safari-Erweiterung konnte auf der Festplatte ersetzt werden, ohne dass der Benutzer darüber informiert wurde. Dieses Problem wurde durch eine verbesserte Validierung der Erweiterungen behoben.

    CVE-ID

    CVE-2015-5780: Ben Toms von macmule.com

  • Sicheres Surfen mit Safari

    Verfügbar für: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 und OS X El Capitan 10.11

    Auswirkung: Das Aufrufen einer IP-Adresse einer bekanntermaßen schadhaften Website löst möglicherweise keine Sicherheitswarnung aus

    Beschreibung: Die Funktion für sicheres Surfen von Safari hat Benutzer nicht gewarnt, wenn sie bekanntermaßen schadhafte Websites über ihre jeweilige IP-Adressen geöffnet haben. Das Problem wurde durch eine verbesserte Erkennung von schadhaften Websites behoben.

    Rahul M (@rahulmfg) von TagsDock

  • WebKit

    Verfügbar für: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 und OS X El Capitan 10.11

    Auswirkung: Bei teilweise geladenen Bildern wurden Daten von verschiedenen Quellen exfiltriert

    Beschreibung: Bei der Validierung von Bildquellen kam es zu einer sogenannten Race Condition. Dieses Problem wurde durch eine verbesserte Validierung der Ressourcenquellen behoben.

    CVE-ID

    CVE-2015-5788: Apple

  • WebKit

    Verfügbar für: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 und OS X El Capitan 10.11

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: In WebKit gab es mehrere Speicherfehler. Diese Probleme wurden durch eine verbesserte Speicherverwaltung behoben.

    CVE-ID

    CVE-2015-5789: Apple

    CVE-2015-5790: Apple

    CVE-2015-5791: Apple

    CVE-2015-5792: Apple

    CVE-2015-5793: Apple

    CVE-2015-5794: Apple

    CVE-2015-5795: Apple

    CVE-2015-5796: Apple

    CVE-2015-5797: Apple

    CVE-2015-5798: Apple

    CVE-2015-5799: Apple

    CVE-2015-5800: Apple

    CVE-2015-5801: Apple

    CVE-2015-5802: Apple

    CVE-2015-5803: Apple

    CVE-2015-5804: Apple

    CVE-2015-5805

    CVE-2015-5806: Apple

    CVE-2015-5807: Apple

    CVE-2015-5808: Joe Vennix

    CVE-2015-5809: Apple

    CVE-2015-5810: Apple

    CVE-2015-5811: Apple

    CVE-2015-5812: Apple

    CVE-2015-5813: Apple

    CVE-2015-5814: Apple

    CVE-2015-5815: Apple

    CVE-2015-5816: Apple

    CVE-2015-5817: Apple

    CVE-2015-5818: Apple

    CVE-2015-5819: Apple

    CVE-2015-5821: Apple

    CVE-2015-5822: Mark S. Miller von Google

    CVE-2015-5823: Apple

  • WebKit

    Verfügbar für: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 und OS X El Capitan 10.11

    Auswirkung: Ein Angreifer kann für eine Website unbeabsichtigte Cookies erstellen

    Beschreibung: WebKit hat akzeptiert, dass mehrere Cookies in der API document.cookie festgelegt werden. Dieses Problem wurde durch eine verbesserte Analyse behoben.

    CVE-ID

    CVE-2015-3801: Erling Ellingsen von Facebook

  • WebKit

    Verfügbar für: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 und OS X El Capitan 10.11

    Auswirkung: Die Performance API könnte zulassen, dass eine schadhafte Website Daten zu Browserverlauf, Netzwerkaktivitäten und Mausbewegungen preisgibt

    Beschreibung: Die WebKit Performance API könnte zugelassen haben, dass eine schadhafte Website basierend auf Zeitmessungen Daten zu Browserverlauf, Netzwerkaktivitäten und Mausbewegungen preisgibt. Dieses Problem wurde durch eine Beschränkung der zeitlichen Auflösung behoben.

    CVE-ID

    CVE-2015-5825: Yossi Oren et al. vom Network Security Lab der Columbia University

  • WebKit

    Verfügbar für: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 und OS X El Capitan 10.11

    Auswirkung: Durch den Besuch einer schadhaften Website konnte versehentlich eine Nummer gewählt werden

    Beschreibung: Es bestand ein Problem mit tel://, facetime:// und facetime-audio:// URLs. Dieses Problem wurde durch eine verbesserte URL-Verarbeitung behoben.

    CVE-ID

    CVE-2015-5820: Guillaume Ross, Andrei Neculaesei

  • WebKit CSS

    Verfügbar für: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 und OS X El Capitan 10.11

    Auswirkung: Eine schadhafte Website kann Daten von verschiedenen Quellen exfiltrieren

    Beschreibung: Safari ließ zu, dass Cross-Origin-Stylesheets mit Nicht-CSS-MIME-Typ geladen wurden, wodurch Daten von verschiedenen Quellen exfiltriert werden konnten. Dieses Problem wurde behoben, indem die Anzahl an MIME-Typen für Cross-Origin-Stylesheets begrenzt wurde.

    CVE-ID

    CVE-2015-5826: filedescriptior, Chris Evans

  • WebKit JavaScript Bindings

    Verfügbar für: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 und OS X El Capitan 10.11

    Auswirkung: Bei bestimmten Ereignissen, Meldungen und Popstate-Ereignissen kann es dazu kommen, dass Objektreferenzen zwischen einzelnen Quellen ausgetauscht werden

    Beschreibung: Aufgrund eines Problems wurden Objekte offengelegt und so die Grenzen zwischen einzelnen Quellen durchbrochen. Das Problem wurde durch eine verbesserte Isolierung der Quellen behoben.

    CVE-ID

    CVE-2015-5827: Gildas

  • Laden von WebKit-Seite

    Verfügbar für: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 und OS X El Capitan 10.11

    Auswirkung: WebSockets können die Durchsetzung von Richtlinien in Bezug auf gemischte Inhalte umgehen

    Beschreibung: Eine mangelhafte Durchsetzung von Richtlinien sorgte dafür, dass WebSockets gemischte Inhalte laden konnte. Dieses Problem wurde behoben, indem die Durchsetzung von Richtlinien in Bezug auf gemischte Inhalte auf WebSockets ausgeweitet wurde.

    Kevin G. Jones von Higher Logic

  • WebKit Plug-Ins

    Verfügbar für: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 und OS X El Capitan 10.11

    Auswirkung: Safari-Plug-Ins können eine HTTP-Anforderung senden, ohne dass diese darüber informiert sind, das die Anforderung umgeleitet wurde

    Beschreibung: Die API der Safari-Plug-Ins hat die Information, dass Anforderungen vom Server umgeleitet werden, nicht an die Plug-Ins weitergegeben. Dies konnte zu nicht autorisierten Anforderungen führen. Dieses Problem wurde durch eine verbesserte API-Unterstützung behoben.

    CVE-ID

    CVE-2015-5828: Lorenzo Fontana

FaceTime ist nicht in allen Ländern und Regionen verfügbar.

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: