Acerca del contenido de seguridad de Safari 9
En este documento se describe el contenido de seguridad de Safari 9.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.
Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos Apple.
A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.
Para obtener información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.
Safari 9
Safari
Disponible para OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 y OS X El Capitan 10.11
Impacto: Visitar un sitio web creado con fines maliciosos podía provocar la suplantación de la interfaz de usuario.
Descripción: Varias incoherencias en la interfaz de usuario podían permitir que un sitio web malicioso mostrara una URL arbitraria. Para solucionar estos problemas, se mejoró la lógica de visualización de URL.
ID CVE
CVE-2015-5764: Antonio Sanso (@asanso), de Adobe
CVE-2015-5765: Ron Masas
CVE-2015-5767: Krystian Kloskowski a través de Secunia, Masato Kinugawa
Descargas de Safari
Disponible para OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 y OS X El Capitan 10.11
Impacto: Era posible que el historial de cuarentena de LaunchServices revelase el historial de navegación.
Descripción: El acceso al historial de cuarentena de LaunchServices podía revelar el historial de navegación basado en las descargas de archivos. Para solucionar este problema, se mejoró la eliminación del historial de cuarentena.
Extensiones de Safari
Disponible para OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 y OS X El Capitan 10.11
Impacto: La comunicación local entre extensiones de Safari y aplicaciones complementarias podía estar en riesgo.
Descripción: Una aplicación nativa podía poner en riesgo la comunicación local entre las extensiones de Safari, como los administradores de contraseñas, y sus aplicaciones nativas complementarias. Para solucionar este problema, se creó un canal nuevo y autenticado de comunicaciones entre las extensiones de Safari y las aplicaciones complementarias.
Extensiones de Safari
Disponible para OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 y OS X El Capitan 10.11
Impacto: Las extensiones de Safari podían ser reemplazadas en el disco.
Descripción: Una extensión de Safari validada e instalada por el usuario podía remplazarse en el disco sin permiso del usuario. Para solucionar este problema, se mejoró la validación de las extensiones.
ID CVE
CVE-2015-5780: Ben Toms, de macmule.com
Navegación segura de Safari
Disponible para OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 y OS X El Capitan 10.11
Impacto: Era posible que durante la navegación a la dirección IP de un sitio web malicioso conocido no se activara una advertencia de seguridad.
Descripción: La función de navegación segura de Safari no advertía a los usuarios cuando visitaban sitios web maliciosos conocidos mediante sus direcciones IP. Para solucionar este problema, se mejoró la detección de sitios maliciosos.
Rahul M (@rahulmfg), de TagsDock
WebKit
Disponible para OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 y OS X El Capitan 10.11
Impacto: Las imágenes que no se cargaban completamente podían exfiltrar datos entre orígenes.
Descripción: Se producía un estado de carrera al validar el origen de las imágenes. Para solucionar este problema, se mejoró la validación del origen de los recursos.
ID CVE
CVE-2015-5788: Apple
WebKit
Disponible para OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 y OS X El Capitan 10.11
Impacto: visitar un sitio web creado con códigos maliciosos puede llevar al cierre inesperado de la aplicación o la ejecución de código arbitraria
Descripción: Existían varios problemas de corrupción de memoria en WebKit. Estos problemas se solucionaron mejorando el manejo de la memoria.
ID CVE
CVE-2015-5789: Apple
CVE-2015-5790: Apple
CVE-2015-5791: Apple
CVE-2015-5792: Apple
CVE-2015-5793: Apple
CVE-2015-5794: Apple
CVE-2015-5795: Apple
CVE-2015-5796: Apple
CVE-2015-5797: Apple
CVE-2015-5798: Apple
CVE-2015-5799: Apple
CVE-2015-5800: Apple
CVE-2015-5801: Apple
CVE-2015-5802: Apple
CVE-2015-5803: Apple
CVE-2015-5804: Apple
CVE-2015-5805
CVE-2015-5806: Apple
CVE-2015-5807: Apple
CVE-2015-5808: Joe Vennix
CVE-2015-5809: Apple
CVE-2015-5810: Apple
CVE-2015-5811: Apple
CVE-2015-5812: Apple
CVE-2015-5813: Apple
CVE-2015-5814: Apple
CVE-2015-5815: Apple
CVE-2015-5816: Apple
CVE-2015-5817: Apple
CVE-2015-5818: Apple
CVE-2015-5819: Apple
CVE-2015-5821: Apple
CVE-2015-5822: Mark S. Miller, de Google
CVE-2015-5823: Apple
WebKit
Disponible para OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 y OS X El Capitan 10.11
Impacto: Un atacante podía crear cookies no deseadas para un sitio web.
Descripción: WebKit aceptaría que se establecieran varias cookies en la API document.cookie. Para solucionar este problema, se mejoró el análisis.
ID CVE
CVE-2015-3801: Erling Ellingsen, de Facebook
WebKit
Disponible para OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 y OS X El Capitan 10.11
Impacto: La API Performance podía permitir que un sitio web malicioso divulgue el historial de navegación, la actividad de la red y los movimientos del mouse.
Descripción: La API Performance de WebKit podía permitir que un sitio web malicioso divulgara el historial de navegación, la actividad de la red y los movimientos del mouse realizando una medición del tiempo. Para solucionar este problema, se limitó la resolución de tiempo.
ID CVE
CVE-2015-5825: Yossi Oren y otros del Laboratorio de Seguridad de Redes de la Universidad de Columbia
WebKit
Disponible para OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 y OS X El Capitan 10.11
Impacto: Visitar un sitio web malicioso podía ocasionar un marcado no deseado.
Descripción: Existía un problema en el procesamiento de las URL tel://, facetime:// y facetime-audio://. Para solucionar este problema, se mejoró el procesamiento de las URL.
ID CVE
CVE-2015-5820: Guillaume Ross, Andrei Neculaesei
WebKit CSS
Disponible para OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 y OS X El Capitan 10.11
Impacto: Un sitio web malicioso podría exfiltrar datos mediante un origen cruzado.
Descripción: Safari permitía que las hojas de estilo de orígenes cruzados se cargaran con tipos MIME no CSS que se podían usar para la exfiltración de datos de orígenes cruzados. Para solucionar este problema, se limitaron los tipos MIME para las hojas de estilo de orígenes cruzados.
ID CVE
CVE-2015-5826: filedescriptior, Chris Evans
WebKit JavaScript Bindings
Disponible para OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 y OS X El Capitan 10.11
Impacto: Las referencias a objetos podían divulgarse entre orígenes aislados en eventos personalizados, eventos de mensajes y eventos popstate.
Descripción: Un problema de divulgación de objetos rompió el límite de aislamiento entre orígenes. Para solucionar este problema, se mejoró el aislamiento entre orígenes.
ID CVE
CVE-2015-5827: Gildas
Carga de la página WebKit
Disponible para OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 y OS X El Capitan 10.11
Impacto: WebSockets podía eludir el cumplimiento de políticas de contenido mixto.
Descripción: Un problema de aplicación insuficiente de políticas permitía que WebSockets cargara contenido mixto. Para solucionar este problema, se extendió la aplicación de políticas de contenido mixto a WebSockets.
Kevin G. Jones, de Higher Logic
Módulos de WebKit
Disponible para OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 y OS X El Capitan 10.11
Impacto: Los módulos de Safari podían enviar una solicitud HTTP sin saber que se redirigía.
Descripción: La API de complementos de Safari no comunicaba a los otros complementos que se había producido una redirección del lado del servidor. Esto podía ocasionar solicitudes no autorizadas. Para solucionar este problema, se mejoró el soporte de la API.
ID CVE
CVE-2015-5828: Lorenzo Fontana
FaceTime no está disponible en la totalidad de los países o las regiones.
La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.