Informationen zum Sicherheitsinhalt von Safari 8.0.8, Safari 7.1.8 und Safari 6.2.8

In diesem Dokument finden Sie Informationen zum Sicherheitsinhalt von Safari 8.0.8, Safari 7.1.8 und Safari 6.2.8.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.

Safari 8.0.8, Safari 7.1.8 und Safari 6.2.8

  • Safari-Programm

    Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 und OS X Yosemite 10.10.4

    Auswirkung: Der Besuch einer schadhaften Website kann zum UI-Spoofing führen

    Beschreibung: Eine schadhafte Website könnte eine andere Website öffnen und den Benutzer zur Dialogeingabe auffordern, ohne dass der Benutzer feststellen kann, woher der Dialog stammt. Dieses Problem wurde behoben, indem der Benutzer nun den Ursprung des Dialogs sehen kann.

    CVE-ID

    CVE-2015-3729: Code Audit Labs von VulnHunt.com

  • WebKit

    Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 und OS X Yosemite 10.10.4

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: In WebKit gab es mehrere Speicherfehler. Diese Probleme wurden durch eine verbesserte Speicherverwaltung behoben.

    CVE-ID

    CVE-2015-3730: Apple

    CVE-2015-3731: Apple

    CVE-2015-3732: Apple

    CVE-2015-3733: Apple

    CVE-2015-3734: Apple

    CVE-2015-3735: Apple

    CVE-2015-3736: Apple

    CVE-2015-3737: Apple

    CVE-2015-3738: Apple

    CVE-2015-3739: Apple

    CVE-2015-3740: Apple

    CVE-2015-3741: Apple

    CVE-2015-3742: Apple

    CVE-2015-3743: Apple

    CVE-2015-3744: Apple

    CVE-2015-3745: Apple

    CVE-2015-3746: Apple

    CVE-2015-3747: Apple

    CVE-2015-3748: Apple

    CVE-2015-3749: Apple

  • WebKit

    Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 und OS X Yosemite 10.10.4

    Auswirkung: Eine schadhafte Website könnte Klartextanfragen an einen Ursprung unter HTTP Strict Transport Security auslösen

    Beschreibung: Es bestand ein Problem, bei dem Content Security Policy-Berichtsanfragen die HTTP Strict Transport Security nicht berücksichtigten. Das Problem wurde durch eine bessere Durchsetzung der HTTP Strict Transport Security behoben.

    CVE-ID

    CVE-2015-3750: Muneaki Nishimura (nishimunea)

  • WebKit

    Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 und OS X Yosemite 10.10.4

    Auswirkung: Das Laden von Bildern könnte die Content Security Policy-Richtlinie einer Website verletzen

    Beschreibung: Es bestand ein Problem, bei dem Websites mit Videosteuerungen Bilder laden, die in Verletzung der Content Security Policy-Richtlinie der Website in Objektelemente verschachtelt wurden. Dieses Problem wurde durch eine verbesserte Durchsetzung der Content Security Policy behoben.

    CVE-ID

    CVE-2015-3751: Muneaki Nishimura (nishimunea)

  • WebKit

    Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 und OS X Yosemite 10.10.4

    Auswirkung: Content Security Policy-Berichtsanfragen könnten Cookies preisgeben

    Beschreibung: Es bestanden zwei Probleme dabei, wie Cookies zu Content Security Policy-Berichtsanfragen hinzugefügt wurden. Cookies wurden in ursprungsübergreifenden Berichtsanfragen entgegen des Standards gesendet. Cookies, die beim normalen Surfen festgelegt wurden, wurden beim privaten Surfen gesendet. Diese Probleme wurden durch eine verbesserte Cookie-Verarbeitung behoben.

    CVE-ID

    CVE-2015-3752: Muneaki Nishimura (nishimunea)

  • WebKit Canvas

    Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 und OS X Yosemite 10.10.4

    Auswirkung: Eine schadhafte Website kann Bilddaten von verschiedenen Quellen exfiltrieren

    Beschreibung: Bilder, die durch URLs abgerufen wurden, die auf eine data:image-Ressource umgeleitet wurden, konnten ursprungsübergreifend exfiltriert werden. Das Problem wurde durch ein verbessertes Canvas-Taint-Tracking behoben.

    CVE-ID

    CVE-2015-3753: Antonio Sanso und Damien Antipa von Adobe

  • Laden von WebKit-Seite

    Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 und OS X Yosemite 10.10.4

    Auswirkung: Zwischengespeicherter Authentifizierungsstatus könnte Verlauf beim privaten Surfing offenlegen

    Beschreibung: Bei der Zwischenspeicherung der HTTP-Authentifizierung bestand ein Problem. Im privaten Surfingmodus eingegebene Anmeldedaten wurden in reguläre Browsersitzungen übertragen, was Teile des Verlaufs der privaten Browsersitzung des Benutzers offenlegen kann. Dieses Problem wurde durch verbesserte Cache-Beschränkungen behoben.

    CVE-ID

    CVE-2015-3754: Dongsung Kim (@kid1ng)

  • WebKit-Prozessmodell

    Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 und OS X Yosemite 10.10.4

    Auswirkung: Der Besuch einer schadhaften Website kann zum UI-Spoofing führen

    Beschreibung: Die Navigation zu einer manipulierten URL konnte einer Schadwebsite erlauben, eine willkürliche URL anzuzeigen. Dieses Problem wurde durch eine verbesserte URL-Verarbeitung behoben.

    CVE-ID

    CVE-2015-3755: xisigr von Tencent's Xuanwu Lab

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: