Acerca del contenido de seguridad de Safari 9
En este documento se describe el contenido de seguridad de Safari 9.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.
Para obtener información sobre la clave de seguridad PGP de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.
Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.
Para obtener más información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.
Safari 9
Safari
Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11
Impacto: visitar un sitio web creado con fines malintencionados podría provocar la suplantación de la interfaz del usuario
Descripción: varias inconsistencias de la interfaz de usuario podrían haber permitido que un sitio web malintencionado mostrase una URL arbitraria. Estos problemas se han solucionado mejorando la lógica de visualización de URL.
ID CVE
CVE-2015-5764: Antonio Sanso (@asanso) de Adobe
CVE-2015-5765: Ron Masas
CVE-2015-5767: Krystian Kloskowski a través de Secunia, Masato Kinugawa
Descargas de Safari
Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11
Impacto: el historial de cuarentena de LaunchServices podría revelar el historial de navegación
Descripción: puede que el acceso al historial de cuarentena de LaunchServices haya revelado el historial de navegación relacionado con las descargas de archivos. Este problema se ha solucionado mejorando el borrado del historial de cuarentena.
Extensiones de Safari
Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11
Impacto: la comunicación local entre las extensiones de Safari y las apps complementarias podría verse comprometida
Descripción: la comunicación local entre las extensiones de Safari, como por ejemplo los administradores de contraseñas, y sus apps complementarias nativas podría verse comprometida por otra app nativa. Este problema se ha solucionado mediante un canal de comunicaciones nuevo y autenticado entre las extensiones de Safari y las apps complementarias.
Extensiones de Safari
Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11
Impacto: las extensiones de Safari podrían ser reemplazadas en el disco
Descripción: una extensión de Safari validada e instalada por el usuario podría ser reemplazada en el disco sin preguntar al usuario. Este problema se ha solucionado mejorando la validación de las extensiones.
ID CVE
CVE-2015-5780: Ben Toms de macmule.com
Navegación segura de Safari
Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11
Impacto: navegar hasta la dirección IP de un sitio web malintencionado conocido podría no activar una advertencia de seguridad
Descripción: la función de navegación segura de Safari no advertía a los usuarios cuando sus direcciones IP visitaban sitios web malintencionados conocidos. Este problema se ha solucionado mejorando la detección de sitios malintencionados.
Rahul M (@rahulmfg) de TagsDock
WebKit
Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11
Impacto: las imágenes cargadas parcialmente podrían ocasionar el filtrado de datos en orígenes cruzados
Descripción: existía un estado de carrera en la validación de los orígenes de las imágenes. Este problema se ha solucionado mejorando la validación de los orígenes de los recursos.
ID CVE
CVE-2015-5788: Apple
WebKit
Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11
Impacto: Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Había varios problemas de corrupción de memoria en WebKit. Estos problemas se han solucionado mejorando la gestión de la memoria.
ID CVE
CVE-2015-5789: Apple
CVE-2015-5790: Apple
CVE-2015-5791: Apple
CVE-2015-5792: Apple
CVE-2015-5793: Apple
CVE-2015-5794: Apple
CVE-2015-5795: Apple
CVE-2015-5796: Apple
CVE-2015-5797: Apple
CVE-2015-5798: Apple
CVE-2015-5799: Apple
CVE-2015-5800: Apple
CVE-2015-5801: Apple
CVE-2015-5802: Apple
CVE-2015-5803: Apple
CVE-2015-5804: Apple
CVE-2015-5805
CVE-2015-5806: Apple
CVE-2015-5807: Apple
CVE-2015-5808: Joe Vennix
CVE-2015-5809: Apple
CVE-2015-5810: Apple
CVE-2015-5811: Apple
CVE-2015-5812: Apple
CVE-2015-5813: Apple
CVE-2015-5814: Apple
CVE-2015-5815: Apple
CVE-2015-5816: Apple
CVE-2015-5817: Apple
CVE-2015-5818: Apple
CVE-2015-5819: Apple
CVE-2015-5821: Apple
CVE-2015-5822: Mark S. Miller de Google
CVE-2015-5823: Apple
WebKit
Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11
Impacto: un atacante podría crear cookies no intencionadas para un sitio web
Descripción: WebKit aceptaría que se configurasen varias cookies en la API document.cookie. Este problema se ha solucionado mejorando el análisis.
ID CVE
CVE-2015-3801: Erling Ellingsen de Facebook
WebKit
Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11
Impacto: la API de rendimiento podría permitir a un sitio web malintencionado filtrar el historial de navegación, la actividad de red y los movimientos del ratón
Descripción: la API de rendimiento de WebKit podría haber permitido a un sitio web malintencionado filtrar el historial de navegación, la actividad de red y los movimientos del ratón mediante la medición del tiempo. Este problema se ha solucionado limitando la resolución del tiempo.
ID CVE
CVE-2015-5825: Yossi Oren et al. del Network Security Lab de la Universidad de Columbia
WebKit
Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11
Impacto: la visita a un sitio web creado con fines malintencionados podría conducir a una marcación involuntaria
Descripción: existía un problema en la gestión de las URL tel://, facetime:// y facetime-audio://. Este problema se ha solucionado mejorando la gestión de las URL.
ID CVE
CVE-2015-5820: Guillaume Ross, Andrei Neculaesei
CSS de WebKit
Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11
Impacto: un sitio web creado con fines malintencionados podría ocasionar el filtrado de datos en orígenes cruzados
Descripción: Safari permitía que se cargasen hojas de estilo de orígenes cruzados con tipos MIME no CSS que se podrían utilizar para el filtrado de datos de orígenes cruzados. Este problema se ha solucionado limitando los tipos de MIME en las hojas de estilo de orígenes cruzados.
ID CVE
CVE-2015-5826: filedescriptior, Chris Evans
Enlaces de JavaScript de WebKit
Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11
Impacto: las referencias a objetos podrían filtrarse entre orígenes aislados en eventos personalizados, eventos de mensajes y eventos de estado emergente
Descripción: un problema de filtración de objetos rompió la barrera de aislamiento entre orígenes. Este problema se ha solucionado mejorando el aislamiento entre los orígenes.
ID CVE
CVE-2015-5827: Gildas
Carga de páginas de WebKit
Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11
Impacto: WebSockets podría derivar la aplicación de las políticas de contenido combinado
Descripción: un problema de aplicación insuficiente de las políticas permitía que WebSockets cargase contenido combinado. Este problema se ha solucionado ampliando la aplicación de las políticas de contenido combinado a WebSockets.
Kevin G. Jones de Higher Logic
Módulos de WebKit
Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11
Impacto: los módulos de Safari podrían enviar una solicitud HTTP sin saber que esta ha sido redireccionada
Descripción: la API de módulos de Safari no comunicaba a los módulos que se había producido una redirección del lado del servidor. Esto podría ocasionar solicitudes sin autorización. Este problema se ha solucionado mejorando el soporte técnico para API.
ID CVE
CVE-2015-5828: Lorenzo Fontana
FaceTime no está disponible en todos los países o regiones.
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.