Acerca del contenido de seguridad de Safari 8.0.8, Safari 7.1.8 y Safari 6.2.8

En este documento, se describe el contenido de seguridad de Safari 8.0.8, Safari 7.1.8 y Safari 6.2.8.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos Apple.

A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.

Para obtener información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

Safari 8.0.8, Safari 7.1.8 y Safari 6.2.8

• Aplicación Safari

  Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10.4

  Impacto: visitar un sitio web malintencionado podría llevar a la falsificación de interfaces de usuario.

  Descripción: un sitio web malintencionado podía abrir otro sitio y solicitar que el usuario ingresara datos sin que este pudiera averiguar el origen de la solicitud. Para solucionar este problema, el origen de esas solicitudes se hizo visible.

  ID CVE

  CVE-2015-3729: Code Audit Labs de VulnHunt.com

• WebKit

  Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10.4

  Impacto: visitar un sitio web creado con fines malintencionados podría llevar al cierre inesperado de la aplicación o la ejecución de código arbitraria.

  Descripción: existían varios problemas de corrupción de memoria en WebKit. Estos problemas se solucionaron mejorando el manejo de la memoria.

  ID CVE

  CVE-2015-3730: Apple

  CVE-2015-3731: Apple

  CVE-2015-3732: Apple

  CVE-2015-3733: Apple

  CVE-2015-3734: Apple

  CVE-2015-3735: Apple

  CVE-2015-3736: Apple

  CVE-2015-3737: Apple

  CVE-2015-3738: Apple

  CVE-2015-3739: Apple

  CVE-2015-3740: Apple

  CVE-2015-3741: Apple

  CVE-2015-3742: Apple

  CVE-2015-3743: Apple

  CVE-2015-3744: Apple

  CVE-2015-3745: Apple

  CVE-2015-3746: Apple

  CVE-2015-3747: Apple

  CVE-2015-3748: Apple

  CVE-2015-3749: Apple

• WebKit

  Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10.4

  Impacto: un sitio web malintencionado podría activar el envío de solicitudes con texto sin formato a un origen mediante la seguridad de transporte HTTP estricta.

  Descripción: existía un problema en el que las solicitudes de informe de la política de seguridad de contenido no cumplían con la seguridad de transporte HTTP estricta. Este problema se solucionó mejorando la implementación de la seguridad de transporte HTTP estricta.

  ID CVE

  CVE-2015-3750: Muneaki Nishimura (nishimunea)

• WebKit

  Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10.4

  Impacto: la carga de imágenes podía infringir normas de la política de seguridad de contenido de un sitio web.

  Descripción: existía un problema en el que los sitios web con controles de video cargaban imágenes anidadas en elementos de objeto que infringían normas de la política de seguridad de contenido de un sitio web. Este problema se solucionó mejorando la implementación de la política de seguridad del contenido.

  ID CVE

  CVE-2015-3751: Muneaki Nishimura (nishimunea)

• WebKit

  Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10.4

  Impacto: las solicitudes de informe de la política de seguridad del contenido podrían filtrar cookies.

  Descripción: existían dos problemas en la forma en que se agregaban las cookies a las solicitudes de informe de la política de seguridad del contenido. Las cookies se enviaban en solicitudes de informe de origen cruzado que no cumplían con el estándar. Las cookies establecidas durante una sesión de navegación normal se enviaban en la navegación privada. Estos problemas se solucionaron mejorando el manejo de las cookies.

  ID CVE

  CVE-2015-3752: Muneaki Nishimura (nishimunea)

• WebKit Canvas

  Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10.4

  Impacto: un sitio web malicioso podría exfiltrar datos de imágenes mediante un origen cruzado.

  Descripción: las imágenes obtenidas a través de URL que redirigían a un recurso data:image podrían haberse exfiltrado mediante un origen cruzado. Este problema se solucionó mejorando el seguimiento de la contaminación de canvas.

  ID CVE

  CVE-2015-3753: Antonio Sanso y Damien Antipa de Adobe

• Carga de la página WebKit

  Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10.4

  Impacto: el estado de autenticación almacenada en la caché podía revelar el historial de navegación privada.

  Descripción: existía un problema en el almacenamiento en caché de la autenticación HTTP. Las credenciales que se ingresaban en el modo de navegación privada se trasladaban al modo normal, y esto podía revelar partes del historial de navegación privada del usuario. El problema se solucionó mejorando las restricciones del almacenamiento en caché.

  ID CVE

  CVE-2015-3754: Dongsung Kim (@kid1ng)

• WebKit Process Model

  Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10.4

  Impacto: visitar un sitio web malintencionado podría llevar a la falsificación de interfaces de usuario.

  Descripción: la navegación a una URL con formato incorrecto podría haber permitido que un sitio web malintencionado mostrara una URL arbitraria. El problema se solucionó mejorando la administración de las URL.

  ID CVE

  CVE-2015-3755: xisigr, del laboratorio de Xuanwu de Tencent