À propos des correctifs de sécurité de Safari 8.0.8, Safari 7.1.8 et Safari 6.2.8

Consultez cet article pour en savoir plus sur les correctifs de sécurité de Safari 8.0.8, Safari 7.1.8 et Safari 6.2.8.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez la page Web Sécurité produit d’Apple.

Pour en savoir plus sur la clé PGP de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.

Safari 8.0.8, Safari 7.1.8 et Safari 6.2.8

  • Safari

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 et OS X Yosemite 10.10.4.

    Conséquence : la consultation d’un site Web malveillant peut permettre une utilisation détournée de l’interface utilisateur.

    Description : un site Web malveillant permettait de rediriger vers un autre site et d’inviter l’utilisateur à spécifier des informations personnelles, sans que celui-ci puisse déterminer l’origine de cette invite. Ce problème a été résolu par l’indication de cette même origine.

    Référence CVE

    CVE-2015-3729 : Code Audit Labs de VulnHunt.com.

  • WebKit

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 et OS X Yosemite 10.10.4.

    Conséquence : la consultation d’un site Web malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Description : WebKit présentait plusieurs problèmes de corruption de la mémoire. Ces problèmes ont été résolus par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-3730 : Apple.

    CVE-2015-3731 : Apple.

    CVE-2015-3732 : Apple.

    CVE-2015-3733 : Apple.

    CVE-2015-3734 : Apple.

    CVE-2015-3735 : Apple.

    CVE-2015-3736 : Apple.

    CVE-2015-3737 : Apple.

    CVE-2015-3738 : Apple.

    CVE-2015-3739 : Apple.

    CVE-2015-3740 : Apple.

    CVE-2015-3741 : Apple.

    CVE-2015-3742 : Apple.

    CVE-2015-3743 : Apple.

    CVE-2015-3744 : Apple.

    CVE-2015-3745 : Apple.

    CVE-2015-3746 : Apple.

    CVE-2015-3747 : Apple.

    CVE-2015-3748 : Apple.

    CVE-2015-3749 : Apple.

  • WebKit

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 et OS X Yosemite 10.10.4.

    Conséquence : un site Web malveillant peut permettre d’envoyer des requêtes au format texte vers une origine HSTS.

    Description : un problème existait, lié à la non-conformité, au mécanisme HSTS, des requêtes de rapport CSP. Ce problème a été résolu par une meilleure mise en place du mécanisme HSTS.

    Référence CVE

    CVE-2015-3750 : Muneaki Nishimura (nishimunea).

  • WebKit

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 et OS X Yosemite 10.10.4.

    Conséquence : le chargement d’images est susceptible d’enfreindre les directives CSP d’un site Web.

    Description : un problème, lié au chargement, sur des sites dotés de contrôles vidéo, d’images intégrées à des éléments d’objets ne respectant pas les directives CSP applicables, existait. Ce problème a été résolu par une meilleure application des directives CSP.

    Référence CVE

    CVE-2015-3751 : Muneaki Nishimura (nishimunea).

  • WebKit

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 et OS X Yosemite 10.10.4.

    Conséquence : les requêtes de rapports CSP sont susceptibles d’entraîner la perte de cookies.

    Description : deux problèmes, liés à l’ajout de cookies aux requêtes de rapport CSP, existaient. Des cookies étaient envoyés avec les requêtes de rapport en provenance d’origines multiples, contrairement aux normes établies. Les cookies associés à la navigation standard étaient appliqués à la navigation privée. Ces problèmes ont été résolus par une meilleure gestion des cookies.

    Référence CVE

    CVE-2015-3752 : Muneaki Nishimura (nishimunea).

  • Canevas WebKit

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 et OS X Yosemite 10.10.4.

    Conséquence : un site Web malveillant est susceptible d’extraire des données d’image provenant d’origines multiples.

    Description : les images récupérées via des URL redirigeant vers une ressource données:image pouvaient avoir été extraites à partir d’origines multiples. Ce problème a été résolu par un meilleur suivi du canevas.

    Référence CVE

    CVE-2015-3753 : Antonio Sanso et Damien Antipa d’Adobe.

  • Chargement de page WebKit

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 et OS X Yosemite 10.10.4.

    Conséquence : l’état d’authentification mis en cache peut permettre la divulgation de l’historique de navigation privée.

    Description : le processus de mise en cache des données d’authentification HTTP présentait un problème. Les informations de connexion saisies lors de sessions de navigation privée étaient conservées lors de la navigation standard, ce qui permettait ainsi la divulgation d’une partie de l’historique de navigation privée. Ce problème a été résolu par une amélioration des restrictions de mise en cache.

    Référence CVE

    CVE-2015-3754 : Dongsung Kim (@kid1ng).

  • Modèle de processus WebKit

    Disponible pour : OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 et OS X Yosemite 10.10.4.

    Conséquence : la consultation d’un site Web malveillant peut permettre une utilisation détournée de l’interface utilisateur.

    Description : l’accès à une URL incorrecte pouvait permettre l’affichage d’une URL arbitraire par un site Web malveillant. Ce problème a été résolu par une meilleure gestion des URL.

    Référence CVE

    CVE-2015-3755 : xisigr de Tencent's Xuanwu Lab.

Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu responsable de problèmes liés à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web tiers ni l’exactitude des informations que ce dernier propose. Contactez le fournisseur pour plus d’informations.

Date de publication: