Acerca del contenido de seguridad de Safari 9.1
Este documento describe el contenido de seguridad de Safari 9.1.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.
Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.
A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.
Para obtener información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.
Safari 9.1
Safari
Disponible para OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 y OS X El Capitan v10.11.4
Impacto: Visitar un sitio web creado con fines maliciosos podía provocar la suplantación de la interfaz de usuario.
Descripción: Existía un problema debido al cual el texto de un cuadro de diálogo incluía texto suministrado por una página. El problema se solucionó dejando de incluir ese texto.
ID CVE
CVE-2009-2197: Alexios Fakos de n.runs AG
Descargas de Safari
Disponible para OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 y OS X El Capitan v10.11.4
Impacto: Visitar una página web creada con fines malintencionados podría ocasionar una denegación de servicio por parte del sistema.
Descripción: Existía un problema de validación insuficiente de entradas en el manejo de determinados archivos. Este problema se solucionó a través de comprobaciones adicionales durante la expansión de archivos.
ID CVE
CVE-2016-1771: Russ Cox
Top Sites en Safari
Disponible para OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 y OS X El Capitan v10.11.4
Impacto: Un sitio web podía rastrear información confidencial del usuario.
Descripción: Existía un problema de almacenamiento de cookies en la página de Top Sites. El problema se solucionó mejorando la administración de estado.
ID CVE
CVE-2016-1772: WoofWagly
WebKit
Disponible para OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 y OS X El Capitan v10.11.4
Impacto: Un sitio web podía rastrear información confidencial del usuario.
Descripción: Existía un problema en el manejo de las URL de archivos adjuntos. El problema se solucionó mejorando la administración de las URL.
ID CVE
CVE-2016-1781: Devdatta Akhawe de Dropbox, Inc.
WebKit
Disponible para OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 y OS X El Capitan v10.11.4
Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Se solucionaron varios problemas de daños en la memoria mejorando el manejo de la memoria.
ID CVE
CVE-2016-1778: 0x1byte en conjunto con la iniciativa Zero Day (ZDI) de Trend Micro y Yang Zhao de CM Security
CVE-2016-1783: Mihai Parparita de Google
WebKit
Disponible para OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 y OS X El Capitan v10.11.4
Impacto: Un sitio web malintencionado podía acceder a puertos restringidos en servidores arbitrarios.
Descripción: Se solucionó un problema de redirección de puertos a través de una validación adicional de los puertos.
ID CVE
CVE-2016-1782: Muneaki Nishimura (nishimunea) de Recruit Technologies Co., Ltd.
WebKit
Disponible para OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 y OS X El Capitan v10.11.4
Impacto: Visitar un sitio web creado con fines malintencionados podía revelar la ubicación actual del usuario.
Descripción: Existía un problema en el análisis de las solicitudes de geoubicación. Este problema se solucionó a través de una mejor validación del origen de seguridad de las solicitudes de geoubicación.
ID CVE
CVE-2016-1779: xisigr de Tencent's Xuanwu Lab (www.tencent.com)
WebKit
Displonible para OS X Maverics v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11.4
Impacto: Abrir una dirección URL creada con fines malintencionados podría provocar la divulgación de información confidencial del usuario.
Descripción: Existía un problema en la redirección de la URL cuando el XSS auditor se utilizaba en el modo bloqueado. Este problema se atendió mediante la mejora de la navegación URL.
ID CVE
CVE-2016-1864: Takeshi Terada de Mitsui Bussan Secure Directions, Inc.
Historial de WebKit
Disponible para OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 y OS X El Capitan v10.11.4
Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar el cierre inesperado de Safari
Descripción: Se solucionó un problema de agotamiento de recursos a través de una validación mejorada de entradas.
ID CVE
CVE-2016-1784: Moony Li y Jack Tang de TrendMicro y 李普君 de 无声信息技术PKAV Team (PKAV.net)
Carga de la página WebKit
Disponible para OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 y OS X El Capitan v10.11.4
Impacto: Un sitio web malicioso podía exfiltrar datos mediante un origen cruzado
Descripción: Existía un problema de almacenamiento en caché con la codificación de caracteres. Este problema se solucionó mediante una comprobación adicional de las solicitudes.
ID CVE
CVE-2016-1785: Un investigador anónimo
Carga de la página WebKit
Disponible para OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 y OS X El Capitan v10.11.4
Impacto: Visitar un sitio web malintencionado podía llevar a la falsificación de interfaces de usuario
Descripción: La redirección de respuestas podía haber permitido a un sitio web malintencionado mostrar una URL arbitraria y leer el contenido almacenado en la caché del origen de destino. Este problema se solucionó a través de una mejora en la lógica de validación de las URL.
ID CVE
CVE-2016-1786: ma.la de LINE Corporation
La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.