Tietoja Safari 9:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan Safari 9:n turvallisuussisällöstä.

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustolla.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

Safari 9

  • Safari

    Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa käyttöliittymän väärentämisen.

    Kuvaus: Käyttöliittymässä oli useita ristiriitaisuuksia, joiden vuoksi haitallinen verkkosivusto saattoi pystyä näyttämään mielivaltaisen URL-osoitteen. Ongelmat on ratkaistu parantamalla URL-osoitteiden näyttölogiikkaa.

    CVE-ID

    CVE-2015-5764: Adoben Antonio Sanso (@asanso)

    CVE-2015-5765: Ron Masas

    CVE-2015-5767: Krystian Kloskowski Secunian kautta sekä Masato Kinugawa

  • Safarin lataukset

    Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.

    Vaikutus: LaunchServicesin karanteenihistoria saattoi paljastaa selaushistorian.

    Kuvaus: Pääsy LaunchServicesin karanteenihistoriaan saattoi paljastaa selaushistorian tiedostolatausten perusteella. Ongelma on ratkaistu parantamalla karanteenihistorian poistamista.

  • Safari-laajennukset

    Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.

    Vaikutus: Safari-laajennusten ja niihin liittyvien ohjelmien paikallinen tietoliikenne saattoi vaarantua.

    Kuvaus: Safari-laajennusten (kuten salasanan hallintatyökalujen) ja niihin liittyvien natiiviohjelmien välinen tietoliikenne saattoi vaarantua toisen natiiviohjelman vuoksi. Ongelma on ratkaistu luomalla uusi todennettu tietoliikennekanava Safari-laajennusten ja niihin liittyvien ohjelmien välille.

  • Safari-laajennukset

    Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.

    Vaikutus: Safari-laajennukset saatettiin korvata levyllä toisella.

    Kuvaus: Validoitu käyttäjän asentama Safari-laajennus saatettiin korvata levyllä toisella ilman että asiasta kysyttiin käyttäjältä. Ongelma on ratkaistu parantamalla laajennusten validointia.

    CVE-tunnus

    CVE-2015-5780: macmule.comin Ben Toms

  • Safarin turvallinen selaus

    Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.

    Vaikutus: Haitalliseksi tiedetyn verkkosivuston IP-osoitteeseen siirtyminen ei välttämättä aktivoinut suojausvaroitusta.

    Kuvaus: Safarin turvallinen selaus -ominaisuus ei varoittanut käyttäjää, kun hän siirtyi haitalliseksi tiedettyyn verkkosivustoon käyttämällä sen IP-osoitetta. Ongelma on ratkaistu parantamalla haitallisten sivustojen tunnistamista.

    TagsDockin Rahul M (@rahulmfg)

  • WebKit

    Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.

    Vaikutus: Osittain latautuneet kuvat saattoivat vuotaa tietoja alkuperien kesken.

    Kuvaus: Kuvan alkuperän validoinnissa oli kilpailutilanne. Ongelma on ratkaistu parantamalla resurssien alkuperän validointia.

    CVE-ID

    CVE-2015-5788: Apple

  • WebKit

    Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: WebKitissä oli useita muistin vioittumiseen liittyviä ongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-5789: Apple

    CVE-2015-5790: Apple

    CVE-2015-5791: Apple

    CVE-2015-5792: Apple

    CVE-2015-5793: Apple

    CVE-2015-5794: Apple

    CVE-2015-5795: Apple

    CVE-2015-5796: Apple

    CVE-2015-5797: Apple

    CVE-2015-5798: Apple

    CVE-2015-5799: Apple

    CVE-2015-5800: Apple

    CVE-2015-5801: Apple

    CVE-2015-5802: Apple

    CVE-2015-5803: Apple

    CVE-2015-5804: Apple

    CVE-2015-5805

    CVE-2015-5806: Apple

    CVE-2015-5807: Apple

    CVE-2015-5808: Joe Vennix

    CVE-2015-5809: Apple

    CVE-2015-5810: Apple

    CVE-2015-5811: Apple

    CVE-2015-5812: Apple

    CVE-2015-5813: Apple

    CVE-2015-5814: Apple

    CVE-2015-5815: Apple

    CVE-2015-5816: Apple

    CVE-2015-5817: Apple

    CVE-2015-5818: Apple

    CVE-2015-5819: Apple

    CVE-2015-5821: Apple

    CVE-2015-5822: Googlen Mark S. Miller

    CVE-2015-5823: Apple

  • WebKit

    Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.

    Vaikutus: Hyökkääjä saattoi pystyä luomaan verkkosivustolle siihen kuulumattomia evästeitä.

    Kuvaus: WebKit hyväksyi useiden evästeiden asettamisen document.cookie-APIssa. Ongelma on ratkaistu parantamalla jäsentämistä.

    CVE-ID

    CVE-2015-3801: Facebookin Erling Ellingsen

  • WebKit

    Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.

    Vaikutus: Performance-API saattoi sallia haitallisen verkkosivuston vuotaa selaushistorian, verkkotoimintoja ja hiiren liikkeitä.

    Kuvaus: WebKitin Performance-API saattoi sallia haitallisen verkkosivuston vuotaa selaushistorian, verkkotoimintoja ja hiiren liikkeitä mittaamalla aikaa. Ongelma on ratkaistu rajoittamalla ajan selvittämistä.

    CVE-ID

    CVE-2015-5825: Columbian yliopiston Network Security Labin Yossi Oren ym.

  • WebKit

    Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa numeron valitsemisen tahattomasti.

    Kuvaus: tel://-, facetime://- ja facetime-audio://-URL-osoitteiden käsittelyssä oli ongelma. Ongelma on ratkaistu parantamalla URL-osoitteiden käsittelyä.

    CVE-ID

    CVE-2015-5820: Guillaume Ross ja Andrei Neculaesei

  • WebKit CSS

    Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.

    Vaikutus: Haitallinen verkkosivusto saattoi vuotaa tietoja eri alkuperien kesken.

    Kuvaus: Safari salli eri alkuperää olevien tyylisivujen latautumisen muiden kuin CSS-tyyppisten MIME-tyyppien kanssa. Tätä saatettiin käyttää hyväksi vuodettaessa eri alkuperistä peräisin olevia tietoja. Ongelma on ratkaistu rajoittamalla eri alkuperää olevien tyylisivujen MIME-tyyppejä.

    CVE-ID

    CVE-2015-5826: filedescriptior ja Chris Evans

  • WebKitin JavaScript-sidonnat

    Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.

    Vaikutus: Objektiviitteitä saatettiin vuotaa eristettyjen alkuperien välillä mukautetuissa tapahtumissa, viestitapahtumissa ja ponnahdustilatapahtumissa.

    Kuvaus: Eri alkuperien välinen eristysraja rikkoutui objektin vuoto-ongelman vuoksi. Ongelma on ratkaistu parantamalla eri alkuperien välistä eristystä.

    CVE-ID

    CVE-2015-5827: Gildas

  • WebKitin sivun lataaminen

    Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.

    Vaikutus: WebSockets saattoi ohittaa sekalaista sisältöä koskevan käytännön toimeenpanon.

    Kuvaus: WebSockets saattoi pystyä lataamaan sekalaista sisältöä, koska käytännössä oli riittämättömän toimeenpanon ongelma. Ongelma on ratkaistu laajentamalla sekalaista sisältöä koskevan käytännön toimeenpano koskemaan WebSocketsia.

    Higher Logicin Kevin G. Jones

  • WebKit-liitännäiset

    Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.

    Vaikutus: Safari-liitännäiset saattoivat lähettää HTTP-pyynnön tietämättä, että pyyntö uudelleenohjattiin.

    Kuvaus: Safari-liitännäisten API ei viestinyt liitännäisille palvelinpuolen uudelleenohjauksesta. Tämä saattoi aiheuttaa luvattomia pyyntöjä. Ongelma on ratkaistu parantamalla tukea APIssa.

    CVE-ID

    CVE-2015-5828: Lorenzo Fontana

FaceTime ei ole saatavilla kaikissa maissa tai kaikilla alueilla.

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: