Tietoja Safari 9.1.2:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan Safari 9.1.2:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen turvallisuuspäivityssivustossa.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuussivustosta. Voit salata Applen kanssa käydyt keskustelut käyttämällä Applen tuoteturvallisuuden PGP-avainta.

Apple käyttää CVE-ID -tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Safari 9.1.2

WebKit

Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.6

Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa mielivaltaisen koodin suorittamisen

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-4589: Tongbo Luo ja Bo Qu – Palo Alto Networks

CVE-2016-4622: Trend Micron Zero Dayn parissa työskentelevä Samuel Gross

CVE-2016-4623: Apple

CVE-2016-4624: Apple

CVE-2016-4586: Apple

WebKit

Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.6

Vaikutus: Haitallisella verkkosivustolla käynti saattoi paljastaa toiselta verkkosivustolta peräisin olevia kuvatietoja

Kuvaus: SVG:n käsittelyssä oli ajoitusongelma. Ongelma on ratkaistu parantamalla tarkistusta.

CVE-2016-4583: Roeland Krak

WebKit

Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.6

Vaikutus: Haitallisella verkkosivulla käynti saattoi aiheuttaa järjestelmän palveluneston

Kuvaus: Muistin kulutusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-4592: Mikhail

WebKit

Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.6

Vaikutus: Haitallisella verkkosivustolla käynti saattaa vuotaa arkaluontoisia tietoja

Kuvaus: Sijaintimuuttujan käsittelyssä ilmeni lupaongelma. Se on korjattu omistajuuden lisätarkistuksilla.

CVE-2016-4591: ma.la (LINE Corporation)

WebKit

Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.6

Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa käyttöliittymän väärentämisen

Kuvaus: URL-osoitteiden jäsentämisessä oli alkuperän periytymisongelma. Ongelma on ratkaistu parantamalla suojauksen alkuperän validointia.

CVE-2016-4590: xisigr – Tencent's Xuanwu Labin (www.tencent.com)

WebKitin JavaScript-sidonnat

Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.6

Vaikutus: Haitallisella verkkosivustolla käynti saattoi johtaa komentosarjan suorittamiseen muun kuin HTTP-palvelun yhteydessä.

Kuvaus: Safarissa oli protokollien ja sivustojen välinen komentosarjaongelma (XPXSS), kun lomakkeita lähetettiin muihin kuin HTTP-palveluihin, jotka ovat yhteensopivia HTTP/0.9:n kanssa. Ongelma korjattiin poistamalla komentosarjat ja laajennukset käytöstä resursseista, jotka ladataan HTTP/0.9:n kautta.

CVE-2016-4651: vaikeaselkoinen

WebKitin sivun lataaminen

Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.6

Vaikutus: Haitallinen verkkosivusto saattoi vuotaa tietoja eri alkuperien kesken

Kuvaus: Safarin URL-uudelleenohjauksessa oli sivustojen välinen komentosarjaongelma. Ongelma on ratkaistu parantamalla URL-osoitteiden tarkistusta uudelleenohjauksessa.

CVE-2016-4585: Takeshi Terada (Mitsui Bussan Secure Directions, Inc) (www.mbsd.jp)

WebKitin sivun lataaminen

Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.6

Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa mielivaltaisen koodin suorittamisen

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-4584: Chris Vienneau