Tietoja Safari 8.0.8:n, Safari 7.1.8:n ja Safari 6.2.8:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan Safari 8.0.8:n, Safari 7.1.8:n ja Safari 6.2.8:n turvallisuussisällöstä.

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustolla.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

Safari 8.0.8, Safari 7.1.8 ja Safari 6.2.8

  • Safari-ohjelma

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 ja OS X Yosemite 10.10.4.

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa käyttöliittymän väärentämisen.

    Kuvaus: Haitallinen verkkosivusto saattoi avata toisen sivuston ja kehottaa käyttäjää syöttämään tietoja ilman että käyttäjä näki, mistä kehote oli peräisin. Ongelma on ratkaistu näyttämällä kehotteen alkuperä käyttäjälle.

    CVE-ID

    CVE-2015-3729: VulnHunt.comin Code Audit Labs

  • WebKit

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 ja OS X Yosemite 10.10.4.

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: WebKitissä oli useita muistin vioittumiseen liittyviä ongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-3730: Apple

    CVE-2015-3731: Apple

    CVE-2015-3732: Apple

    CVE-2015-3733: Apple

    CVE-2015-3734: Apple

    CVE-2015-3735: Apple

    CVE-2015-3736: Apple

    CVE-2015-3737: Apple

    CVE-2015-3738: Apple

    CVE-2015-3739: Apple

    CVE-2015-3740: Apple

    CVE-2015-3741: Apple

    CVE-2015-3742: Apple

    CVE-2015-3743: Apple

    CVE-2015-3744: Apple

    CVE-2015-3745: Apple

    CVE-2015-3746: Apple

    CVE-2015-3747: Apple

    CVE-2015-3748: Apple

    CVE-2015-3749: Apple

  • WebKit

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 ja OS X Yosemite 10.10.4.

    Vaikutus: Haitallinen verkkosivusto saattoi laukaista salaamattomassa muodossa olevia pyyntöjä tiettyyn kohteeseen käytettäessä HTTP Strict Transport Securitya.

    Kuvaus: Content Security Policy -raporttipyynnöt eivät noudattaneet HTTP Strict Transport Securitya. Ongelma on ratkaistu parantamalla HTTP Strict Transport Securityn toimeenpanoa.

    CVE-ID

    CVE-2015-3750: Muneaki Nishimura (nishimunea)

  • WebKit

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 ja OS X Yosemite 10.10.4.

    Vaikutus: Kuvan lataaminen saattoi rikkoa verkkosivuston Content Security Policy -sääntöä.

    Kuvaus: Video-ohjaimia sisältävät verkkosivustot saattoivat ladata objektielementtien sisällä olevia kuvia verkkosivuston Content Security Policy -säännön vastaisesti. Ongelma on ratkaistu parantamalla Content Security Policyn toimeenpanoa.

    CVE-ID

    CVE-2015-3751: Muneaki Nishimura (nishimunea)

  • WebKit

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 ja OS X Yosemite 10.10.4.

    Vaikutus: Content Security Policy -raporttipyynnöt saattoivat vuotaa evästeitä.

    Kuvaus: Evästeiden lisäämisessä Content Security Policy -raporttipyyntöihin oli kaksi ongelmaa. Evästeitä lähetettiin eri alkuperään liittyvissä raporttipyynnöissä standardin vastaisesti. Tavallisen selaamisen aikana asetetut evästeet lähetettiin yksityisessä selaustilassa. Ongelmat on ratkaistu parantamalla evästeiden käsittelyä.

    CVE-ID

    CVE-2015-3752: Muneaki Nishimura (nishimunea)

  • WebKitin canvas

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 ja OS X Yosemite 10.10.4.

    Vaikutus: Haitallinen verkkosivusto saattoi vuotaa kuvatietoja eri alkuperien kesken.

    Kuvaus: data:image-resurssiin uudelleenohjautuvien URL-osoitteiden kautta haetut kuvat saatettiin vuotaa eri alkuperien kesken. Ongelma on ratkaistu parantamalla canvas-elementin vikojen seurantaa.

    CVE-ID

    CVE-2015-3753: Adoben Antonio Sanso ja Damien Antipa

  • WebKitin sivun lataaminen

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 ja OS X Yosemite 10.10.4.

    Vaikutus: Välimuistiin tallentunut todennustila saattoi paljastaa yksityisen selaushistorian.

    Kuvaus: HTTP-todennuksen välimuistiin tallentumisessa oli ongelma. Yksityisessä selaustilassa annetut tunnistetiedot siirtyivät tavalliseen selaukseen, jolloin osia käyttäjän yksityisen selauksen historiasta saattoi paljastua. Ongelma on ratkaistu parantamalla välimuistiin tallentamisen rajoituksia.

    CVE-ID

    CVE-2015-3754: Dongsung Kim (@kid1ng)

  • WebKit-prosessimalli

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 ja OS X Yosemite 10.10.4.

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa käyttöliittymän väärentämisen.

    Kuvaus: Siirtyminen väärin muotoiltuun URL-osoitteeseen saattoi mahdollistaa sen, että haitallinen verkkosivusto pystyi näyttämään mielivaltaisen URL-osoitteen. Ongelma on ratkaistu parantamalla URL-osoitteiden käsittelyä.

    CVE-ID

    CVE-2015-3755: Tencentin Xuanwu Labin xisigr

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: