Acerca del contenido de seguridad de Safari 9.1

Este documento describe el contenido de seguridad de Safari 9.1.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.

A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.

Para obtener información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

Safari 9.1

• Safari

  Disponible para OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 y OS X El Capitan v10.11.4

  Impacto: Visitar un sitio web creado con fines maliciosos podía provocar la suplantación de la interfaz de usuario.

  Descripción: Existía un problema debido al cual el texto de un cuadro de diálogo incluía texto suministrado por una página. El problema se solucionó dejando de incluir ese texto.

  ID CVE

  CVE-2009-2197: Alexios Fakos de n.runs AG

• Descargas de Safari

  Disponible para OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 y OS X El Capitan v10.11.4

  Impacto: Visitar una página web creada con fines malintencionados podría ocasionar una denegación de servicio por parte del sistema.

  Descripción: Existía un problema de validación insuficiente de entradas en el manejo de determinados archivos. Este problema se solucionó a través de comprobaciones adicionales durante la expansión de archivos.

  ID CVE

  CVE-2016-1771: Russ Cox

• Top Sites en Safari

  Disponible para OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 y OS X El Capitan v10.11.4

  Impacto: Un sitio web podía rastrear información confidencial del usuario.

  Descripción: Existía un problema de almacenamiento de cookies en la página de Top Sites. El problema se solucionó mejorando la administración de estado.

  ID CVE

  CVE-2016-1772: WoofWagly

• WebKit

  Disponible para OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 y OS X El Capitan v10.11.4

  Impacto: Un sitio web podía rastrear información confidencial del usuario.

  Descripción: Existía un problema en el manejo de las URL de archivos adjuntos. El problema se solucionó mejorando la administración de las URL.

  ID CVE

  CVE-2016-1781: Devdatta Akhawe de Dropbox, Inc.

• WebKit

  Disponible para OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 y OS X El Capitan v10.11.4

  Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

  Descripción: Se solucionaron varios problemas de daños en la memoria mejorando el manejo de la memoria.

  ID CVE

  CVE-2016-1778: 0x1byte en conjunto con la iniciativa Zero Day (ZDI) de Trend Micro y Yang Zhao de CM Security

  CVE-2016-1783: Mihai Parparita de Google

• WebKit

  Disponible para OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 y OS X El Capitan v10.11.4

  Impacto: Un sitio web malintencionado podía acceder a puertos restringidos en servidores arbitrarios.

  Descripción: Se solucionó un problema de redirección de puertos a través de una validación adicional de los puertos.

  ID CVE

  CVE-2016-1782: Muneaki Nishimura (nishimunea) de Recruit Technologies Co., Ltd.

• WebKit

  Disponible para OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 y OS X El Capitan v10.11.4

  Impacto: Visitar un sitio web creado con fines malintencionados podía revelar la ubicación actual del usuario.

  Descripción: Existía un problema en el análisis de las solicitudes de geoubicación. Este problema se solucionó a través de una mejor validación del origen de seguridad de las solicitudes de geoubicación.

  ID CVE

  CVE-2016-1779: xisigr de Tencent's Xuanwu Lab (www.tencent.com)

• WebKit

  Displonible para OS X Maverics v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11.4

  Impacto: Abrir una dirección URL creada con fines malintencionados podría provocar la divulgación de información confidencial del usuario.

  Descripción: Existía un problema en la redirección de la URL cuando el XSS auditor se utilizaba en el modo bloqueado. Este problema se atendió mediante la mejora de la navegación URL.

  ID CVE

  CVE-2016-1864: Takeshi Terada de Mitsui Bussan Secure Directions, Inc.

• Historial de WebKit

  Disponible para OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 y OS X El Capitan v10.11.4

  Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar el cierre inesperado de Safari

  Descripción: Se solucionó un problema de agotamiento de recursos a través de una validación mejorada de entradas.

  ID CVE

  CVE-2016-1784: Moony Li y Jack Tang de TrendMicro y 李普君 de 无声信息技术PKAV Team (PKAV.net)

• Carga de la página WebKit

  Disponible para OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 y OS X El Capitan v10.11.4

  Impacto: Un sitio web malicioso podía exfiltrar datos mediante un origen cruzado

  Descripción: Existía un problema de almacenamiento en caché con la codificación de caracteres. Este problema se solucionó mediante una comprobación adicional de las solicitudes.

  ID CVE

  CVE-2016-1785: Un investigador anónimo

• Carga de la página WebKit

  Disponible para OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 y OS X El Capitan v10.11.4

  Impacto: Visitar un sitio web malintencionado podía llevar a la falsificación de interfaces de usuario

  Descripción: La redirección de respuestas podía haber permitido a un sitio web malintencionado mostrar una URL arbitraria y leer el contenido almacenado en la caché del origen de destino. Este problema se solucionó a través de una mejora en la lógica de validación de las URL.

  ID CVE

  CVE-2016-1786: ma.la de LINE Corporation