Acerca del contenido de seguridad de Safari 8.0.7, Safari 7.1.7 y Safari 6.2.7
En este documento, se describe el contenido de seguridad de Safari 8.0.7, Safari 7.1.7 y Safari 6.2.7.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.
Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos Apple.
A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.
Para obtener información sobre las actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.
Safari 8.0.7, Safari 7.1.7 y Safari 6.2.7
WebKit
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10.3
Impacto: Un sitio web creado con fines malintencionados puede acceder a bases de datos WebSQL de otros sitios web
Descripción: Existía un problema en las comprobaciones de autorización para las tablas WebSQL restantes. Esto pudo haber permitido que un sitio web creado con fines malintencionados acceda a bases de datos pertenecientes a otros sitios web. Para solucionar el problema, se mejoró la comprobación de las autorizaciones.
ID CVE
CVE-2015-3727: Peter Rutenbar, en colaboración con la Zero Day Initiative de HP
Carga de la página WebKit
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10.3
Impacto: Visitar un sitio web creado con fines malintencionados puede provocar la apropiación fraudulenta de cuenta.
Descripción: Existía un problema debido a que Safari preservaba el encabezado original de la solicitud en redirecciones de orígenes cruzados, lo que permitía que los sitios web maliciosos omitieran las protecciones CSRF. Este problema se solucionó mediante la mejora del procesamiento de las ACL.
ID CVE
CVE-2015-3658: Brad Hill de Facebook
PDF de WebKit
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10.3
Impacto: Hacer clic en un enlace creado con fines malintencionados en un PDF incrustado en una página web puede provocar el robo de cookies o la filtración de información del usuario.
Descripción: Existía un problema con los enlaces PDF incrustados, que podían ejecutar código JavaScript en el contexto de una página web de alojamiento. El problema se solucionó al restringir el soporte para enlaces JavaScript.
ID CVE
CVE-2015-3660: Apple
Almacenamiento de WebKit
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10.3
Impacto: Visitar una página web creada con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
Descripción: Existía un problema de comparación insuficiente en el autorizador de SQLite, que permitía que se invoquen funciones arbitrarias de SQL. Este problema se resolvió al mejorar la comprobación de autorizaciones.
ID CVE
CVE-2015-3659: Peter Rutenbar, en colaboración con la Zero Day Initiative de HP
La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.