Acerca del contenido de seguridad de Safari 9

En este documento se describe el contenido de seguridad de Safari 9.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener información sobre la clave de seguridad PGP de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.

Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

Safari 9

  • Safari

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11

    Impacto: visitar un sitio web creado con fines malintencionados podría provocar la suplantación de la interfaz del usuario

    Descripción: varias inconsistencias de la interfaz de usuario podrían haber permitido que un sitio web malintencionado mostrase una URL arbitraria. Estos problemas se han solucionado mejorando la lógica de visualización de URL.

    ID CVE

    CVE-2015-5764: Antonio Sanso (@asanso) de Adobe

    CVE-2015-5765: Ron Masas

    CVE-2015-5767: Krystian Kloskowski a través de Secunia, Masato Kinugawa

  • Descargas de Safari

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11

    Impacto: el historial de cuarentena de LaunchServices podría revelar el historial de navegación

    Descripción: puede que el acceso al historial de cuarentena de LaunchServices haya revelado el historial de navegación relacionado con las descargas de archivos. Este problema se ha solucionado mejorando el borrado del historial de cuarentena.

  • Extensiones de Safari

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11

    Impacto: la comunicación local entre las extensiones de Safari y las apps complementarias podría verse comprometida

    Descripción: la comunicación local entre las extensiones de Safari, como por ejemplo los administradores de contraseñas, y sus apps complementarias nativas podría verse comprometida por otra app nativa. Este problema se ha solucionado mediante un canal de comunicaciones nuevo y autenticado entre las extensiones de Safari y las apps complementarias.

  • Extensiones de Safari

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11

    Impacto: las extensiones de Safari podrían ser reemplazadas en el disco

    Descripción: una extensión de Safari validada e instalada por el usuario podría ser reemplazada en el disco sin preguntar al usuario. Este problema se ha solucionado mejorando la validación de las extensiones.

    ID CVE

    CVE-2015-5780: Ben Toms de macmule.com

  • Navegación segura de Safari

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11

    Impacto: navegar hasta la dirección IP de un sitio web malintencionado conocido podría no activar una advertencia de seguridad

    Descripción: la función de navegación segura de Safari no advertía a los usuarios cuando sus direcciones IP visitaban sitios web malintencionados conocidos. Este problema se ha solucionado mejorando la detección de sitios malintencionados.

    Rahul M (@rahulmfg) de TagsDock

  • WebKit

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11

    Impacto: las imágenes cargadas parcialmente podrían ocasionar el filtrado de datos en orígenes cruzados

    Descripción: existía un estado de carrera en la validación de los orígenes de las imágenes. Este problema se ha solucionado mejorando la validación de los orígenes de los recursos.

    ID CVE

    CVE-2015-5788: Apple

  • WebKit

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Había varios problemas de corrupción de memoria en WebKit. Estos problemas se han solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-5789: Apple

    CVE-2015-5790: Apple

    CVE-2015-5791: Apple

    CVE-2015-5792: Apple

    CVE-2015-5793: Apple

    CVE-2015-5794: Apple

    CVE-2015-5795: Apple

    CVE-2015-5796: Apple

    CVE-2015-5797: Apple

    CVE-2015-5798: Apple

    CVE-2015-5799: Apple

    CVE-2015-5800: Apple

    CVE-2015-5801: Apple

    CVE-2015-5802: Apple

    CVE-2015-5803: Apple

    CVE-2015-5804: Apple

    CVE-2015-5805

    CVE-2015-5806: Apple

    CVE-2015-5807: Apple

    CVE-2015-5808: Joe Vennix

    CVE-2015-5809: Apple

    CVE-2015-5810: Apple

    CVE-2015-5811: Apple

    CVE-2015-5812: Apple

    CVE-2015-5813: Apple

    CVE-2015-5814: Apple

    CVE-2015-5815: Apple

    CVE-2015-5816: Apple

    CVE-2015-5817: Apple

    CVE-2015-5818: Apple

    CVE-2015-5819: Apple

    CVE-2015-5821: Apple

    CVE-2015-5822: Mark S. Miller de Google

    CVE-2015-5823: Apple

  • WebKit

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11

    Impacto: un atacante podría crear cookies no intencionadas para un sitio web

    Descripción: WebKit aceptaría que se configurasen varias cookies en la API document.cookie. Este problema se ha solucionado mejorando el análisis.

    ID CVE

    CVE-2015-3801: Erling Ellingsen de Facebook

  • WebKit

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11

    Impacto: la API de rendimiento podría permitir a un sitio web malintencionado filtrar el historial de navegación, la actividad de red y los movimientos del ratón

    Descripción: la API de rendimiento de WebKit podría haber permitido a un sitio web malintencionado filtrar el historial de navegación, la actividad de red y los movimientos del ratón mediante la medición del tiempo. Este problema se ha solucionado limitando la resolución del tiempo.

    ID CVE

    CVE-2015-5825: Yossi Oren et al. del Network Security Lab de la Universidad de Columbia

  • WebKit

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11

    Impacto: la visita a un sitio web creado con fines malintencionados podría conducir a una marcación involuntaria

    Descripción: existía un problema en la gestión de las URL tel://, facetime:// y facetime-audio://. Este problema se ha solucionado mejorando la gestión de las URL.

    ID CVE

    CVE-2015-5820: Guillaume Ross, Andrei Neculaesei

  • CSS de WebKit

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11

    Impacto: un sitio web creado con fines malintencionados podría ocasionar el filtrado de datos en orígenes cruzados

    Descripción: Safari permitía que se cargasen hojas de estilo de orígenes cruzados con tipos MIME no CSS que se podrían utilizar para el filtrado de datos de orígenes cruzados. Este problema se ha solucionado limitando los tipos de MIME en las hojas de estilo de orígenes cruzados.

    ID CVE

    CVE-2015-5826: filedescriptior, Chris Evans

  • Enlaces de JavaScript de WebKit

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11

    Impacto: las referencias a objetos podrían filtrarse entre orígenes aislados en eventos personalizados, eventos de mensajes y eventos de estado emergente

    Descripción: un problema de filtración de objetos rompió la barrera de aislamiento entre orígenes. Este problema se ha solucionado mejorando el aislamiento entre los orígenes.

    ID CVE

    CVE-2015-5827: Gildas

  • Carga de páginas de WebKit

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11

    Impacto: WebSockets podría derivar la aplicación de las políticas de contenido combinado

    Descripción: un problema de aplicación insuficiente de las políticas permitía que WebSockets cargase contenido combinado. Este problema se ha solucionado ampliando la aplicación de las políticas de contenido combinado a WebSockets.

    Kevin G. Jones de Higher Logic

  • Módulos de WebKit

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11

    Impacto: los módulos de Safari podrían enviar una solicitud HTTP sin saber que esta ha sido redireccionada

    Descripción: la API de módulos de Safari no comunicaba a los módulos que se había producido una redirección del lado del servidor. Esto podría ocasionar solicitudes sin autorización. Este problema se ha solucionado mejorando el soporte técnico para API.

    ID CVE

    CVE-2015-5828: Lorenzo Fontana

FaceTime no está disponible en todos los países o regiones.

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: