Acerca del contenido de seguridad de Safari 9.1.2
En este documento se describe el contenido de seguridad de Safari 9.1.2.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página Actualizaciones de seguridad de Apple.
Para obtener más información acerca de la seguridad, consulta el sitio web Seguridad de los productos Apple. Puedes encriptar las comunicaciones con Apple mediante la clave PGP de seguridad de los productos Apple.
Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.
Safari 9.1.2
WebKit
Disponible para OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11.6
Impacto: Visitar un sitio web creado con fines malintencionados podía provocar la ejecución de código arbitrario.
Descripción: Se solucionaron varios problemas de daños en la memoria mejorando el manejo de la memoria.
CVE-2016-4589: Tongbo Luo y Bo Qu de Palo Alto Networks
CVE-2016-4622: Samuel Gross en colaboración con Zero Day de Trend Micro
CVE-2016-4623: Apple
CVE-2016-4624: Apple
CVE-2016-4586: Apple
WebKit
Disponible para OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11.6
Impacto: Visitar un sitio web malicioso podía divulgar datos de imágenes de otro sitio web.
Descripción: Existía un problema de temporización en el procesamiento de SVG. Para solucionar este problema, se mejoró la validación.
CVE-2016-4583: Roeland Krak
WebKit
Disponible para OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11.6
Impacto: Visitar una página web creada con fines malintencionados podía ocasionar una denegación de servicio por parte del sistema.
Descripción: Un problema de consumo de memoria se solucionó mejorando el manejo de la memoria.
CVE-2016-4592: Mikhail
WebKit
Disponible para OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11.6
Impacto: Al visitar un sitio web creado con fines malintencionados, se podía filtrar información confidencial.
Descripción: Existía un problema de permisos en el manejo de la variable de ubicación. El problema se solucionó mediante comprobaciones de propiedad adicionales.
CVE-2016-4591: ma.la de LINE Corporation
WebKit
Disponible para OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11.6
Impacto: Visitar un sitio web malicioso podía llevar a la falsificación de interfaces de usuario.
Descripción: Existía un problema de herencia de origen en el análisis de URL. Esto se solucionó mejorando la validación de los orígenes de seguridad.
CVE-2016-4590: xisigr de Tencent's Xuanwu Lab (www.tencent.com)
WebKit JavaScript Bindings
Disponible para OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11.6
Impacto: Visitar un sitio web creado con fines malintencionados podía llevar a la ejecución de script en el contexto de un servicio que no fuera HTTP.
Descripción: Existía un problema de protocolo cruzado en secuencia de órdenes en sitios cruzados (XPXSS) en Safari al enviar formularios a sitios que no eran HTTP compatibles con HTTP/0.9. Este problema se solucionó deshabilitando los scripts y complementos en recursos cargados sobre HTTP/0.9.
CVE-2016-4651: Obscure
Carga de la página WebKit
Disponible para OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11.6
Impacto: Un sitio web malicioso podía exfiltrar datos mediante un origen cruzado.
Descripción: Existía un problema de secuencia de órdenes en sitios cruzados en el desvío de URL de Safari. Para solucionar este problema, se mejoró la validación de las URL en el desvío.
CVE-2016-4585: Takeshi Terada de Mitsui Bussan Secure Directions, Inc. (www.mbsd.jp)
Carga de la página WebKit
Disponible para OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11.6
Impacto: Visitar un sitio web creado con fines malintencionados podía provocar la ejecución de código arbitrario.
Descripción: Se solucionaron varios problemas de daños en la memoria mejorando el manejo de la memoria.
CVE-2016-4584: Chris Vienneau
La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.