Acerca del contenido de seguridad de Safari 8.0.7, Safari 7.1.7 y Safari 6.2.7

En este documento, se describe el contenido de seguridad de Safari 8.0.7, Safari 7.1.7 y Safari 6.2.7.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos Apple.

A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.

Para obtener información sobre las actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

Safari 8.0.7, Safari 7.1.7 y Safari 6.2.7

  • WebKit

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10.3

    Impacto: Un sitio web creado con fines malintencionados puede acceder a bases de datos WebSQL de otros sitios web

    Descripción: Existía un problema en las comprobaciones de autorización para las tablas WebSQL restantes. Esto pudo haber permitido que un sitio web creado con fines malintencionados acceda a bases de datos pertenecientes a otros sitios web. Para solucionar el problema, se mejoró la comprobación de las autorizaciones.

    ID CVE

    CVE-2015-3727: Peter Rutenbar, en colaboración con la Zero Day Initiative de HP

  • Carga de la página WebKit

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10.3

    Impacto: Visitar un sitio web creado con fines malintencionados puede provocar la apropiación fraudulenta de cuenta.

    Descripción: Existía un problema debido a que Safari preservaba el encabezado original de la solicitud en redirecciones de orígenes cruzados, lo que permitía que los sitios web maliciosos omitieran las protecciones CSRF. Este problema se solucionó mediante la mejora del procesamiento de las ACL.

    ID CVE

    CVE-2015-3658: Brad Hill de Facebook

  • PDF de WebKit

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10.3

    Impacto: Hacer clic en un enlace creado con fines malintencionados en un PDF incrustado en una página web puede provocar el robo de cookies o la filtración de información del usuario.

    Descripción: Existía un problema con los enlaces PDF incrustados, que podían ejecutar código JavaScript en el contexto de una página web de alojamiento. El problema se solucionó al restringir el soporte para enlaces JavaScript.

    ID CVE

    CVE-2015-3660: Apple

  • Almacenamiento de WebKit

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10.3

    Impacto: Visitar una página web creada con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    Descripción: Existía un problema de comparación insuficiente en el autorizador de SQLite, que permitía que se invoquen funciones arbitrarias de SQL. Este problema se resolvió al mejorar la comprobación de autorizaciones.

    ID CVE

    CVE-2015-3659: Peter Rutenbar, en colaboración con la Zero Day Initiative de HP

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados o probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o productos de otros fabricantes. Apple no ofrece ninguna representación con relación a la precisión o fiabilidad de los sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Comunícate con el proveedor para obtener información adicional. Otros nombres de compañías y productos mencionados pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: