À propos des correctifs de sécurité de Safari 9
Ce document décrit les correctifs de sécurité de Safari 9.
Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez la page Web Sécurité produit d’Apple.
Pour en savoir plus sur la clé PGP de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.
Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.
Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.
Safari 9
Safari
Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.
Conséquence : la consultation d’un site Web malveillant peut permettre une utilisation détournée de l’interface utilisateur.
Description : des incohérences dans les interfaces utilisateurs multiples pouvaient autoriser un site Web malveillant à afficher une URL arbitraire. Ces problèmes ont été résolus par une amélioration de la logique d’affichage des URL.
Référence CVE
CVE-2015-5764 : Antonio Sanso (@asanso) d’Adobe.
CVE-2015-5765 : Ron Masas.
CVE-2015-5767 : Krystian Kloskowski via Secunia, Masato Kinugawa.
Téléchargements Safari
Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.
Conséquence : l’historique de mise en quarantaine de LaunchServices peut inclure l’historique du navigateur.
Description : l’accès à l’historique de mise en quarantaine de LaunchServices pouvait permettre de consulter l’historique du navigateur, en cas de fichiers téléchargés. Ce problème a été résolu par une meilleure suppression de l’historique de mise en quarantaine.
Extensions de Safari
Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.
Conséquence : les communications locales entre les extensions Safari et les applications associées peuvent être compromises.
Description : les communications locales entre les extensions Safari (par exemple, les gestionnaires de mot de passe) et les applications natives associées pouvaient être compromises par une autre application native. Ce problème a été résolu par l’implémentation de communications authentifiées entre les extensions Safari et les applications associées.
Extensions de Safari
Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.
Conséquence : les extensions Safari peuvent être remplacées sur le disque.
Description : une extension Safari validée, et installée par l’utilisateur, pouvait être remplacée sur le disque, sans que ce même utilisateur ne soit notifié. Ce problème a été résolu par une meilleure validation des extensions.
Référence CVE
CVE-2015-5780 : Ben Toms de macmule.com.
Safari Safe Browsing
Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.
Conséquence : la navigation sur l’adresse IP d’un site Web malveillant notoire ne déclenche pas d’avertissement de sécurité.
Description : la fonctionnalité Safari Safe Browsing n’avertissait pas les utilisateurs qui consultaient des sites Web malveillants notoires en saisissant leur adresse IP. Le problème a été résolu par une amélioration de la détection des sites malveillants.
Rahul M (@rahulmfg) de TagsDock.
WebKit
Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.
Conséquence : les images partiellement chargées peuvent permettre la divulgation de données au niveau de plusieurs origines.
Description : un problème de concurrence existait au niveau de la validation de l’origine des images. Ce problème a été résolu par une meilleure validation de l’origine des ressources.
Référence CVE
CVE-2015-5788 : Apple.
WebKit
Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.
Conséquence : la consultation d’un site Web malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.
Description : plusieurs problèmes de corruption de la mémoire existaient dans WebKit. Ces problèmes ont été résolus par une meilleure gestion de la mémoire.
Référence CVE
CVE-2015-5789 : Apple.
CVE-2015-5790 : Apple.
CVE-2015-5791 : Apple.
CVE-2015-5792 : Apple.
CVE-2015-5793 : Apple.
CVE-2015-5794 : Apple.
CVE-2015-5795 : Apple.
CVE-2015-5796 : Apple.
CVE-2015-5797 : Apple.
CVE-2015-5798 : Apple.
CVE-2015-5799 : Apple.
CVE-2015-5800 : Apple.
CVE-2015-5801 : Apple.
CVE-2015-5802 : Apple.
CVE-2015-5803 : Apple.
CVE-2015-5804 : Apple.
CVE-2015-5805
CVE-2015-5806 : Apple.
CVE-2015-5807 : Apple.
CVE-2015-5808 : Joe Vennix.
CVE-2015-5809 : Apple.
CVE-2015-5810 : Apple.
CVE-2015-5811 : Apple.
CVE-2015-5812 : Apple.
CVE-2015-5813 : Apple.
CVE-2015-5814 : Apple.
CVE-2015-5815 : Apple.
CVE-2015-5816 : Apple.
CVE-2015-5817 : Apple.
CVE-2015-5818 : Apple.
CVE-2015-5819 : Apple.
CVE-2015-5821 : Apple.
CVE-2015-5822 : Mark S. Miller de Google.
CVE-2015-5823 : Apple.
WebKit
Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.
Conséquence : un attaquant est susceptible de créer un cookie non désiré pour un site Web.
Description : WebKit acceptait le paramétrage de plusieurs cookies dans l’API document.cookie. Ce problème a été résolu par une analyse améliorée.
Référence CVE
CVE-2015-3801 : Erling Ellingsen de Facebook.
WebKit
Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.
Conséquence : l’API Performance peut autoriser un site Web malveillant à divulguer l’historique de navigation, l’activité sur le réseau et les mouvements de la souris.
Description : l’API Performance de WebKit pouvait autoriser un site Web malveillant à divulguer l’historique de navigation, l’activité sur le réseau et les mouvements de la souris par la mesure de la durée. Ce problème a été résolu par la limitation de la résolution de la durée.
Référence CVE
CVE-2015-5825 : Yossi Oren et al. du Network Security Lab de l’Université de Columbia.
WebKit
Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.
Conséquence : la consultation d’un site Web malveillant peut entraîner une numérotation non désirée.
Description : un problème existait dans la gestion des URL tel://, facetime:// et facetime-audio://. Ce problème a été résolu par une meilleure gestion des URL.
Référence CVE
CVE-2015-5820 : Guillaume Ross, Andrei Neculaesei.
WebKit CSS
Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.
Conséquence : un site Web malveillant est susceptible d’extraire des données provenant d’origines multiples.
Description : Safari autorisait le chargement de feuilles de style d’origines multiples avec des types MIME non CSS permettant ainsi d’extraire les données d’origines multiples. Ce problème a été résolu en limitant les types MIME pour les feuilles de style d’origines multiples.
Référence CVE
CVE-2015-5826 : filedescriptior, Chris Evans.
Associations JavaScript WebKit
Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.
Conséquence : les références d’objet peuvent être divulguées entre des origines isolées portant sur les événements custom, message et pop state.
Description : un problème de divulgation d’objet brisait la limite d’isolation entre les origines. Ce problème a été résolu par une amélioration de l’isolation entre les origines.
Référence CVE
CVE-2015-5827 : Gildas.
Chargement de page WebKit
Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.
Conséquence : WebSockets peut contourner le processus d’application liée à la stratégie de contenu mixte.
Description : une application insuffisante de la stratégie permettait à WebSockets de charger du contenu mixte. Ce problème a été résolu par l’extension de l’application de la stratégie de contenu mixte à WebSockets.
Kevin G. Jones de Higher Logic.
Modules externes WebKit
Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.
Conséquence : les modules externes Safari peuvent envoyer une requête HTTP alors que cette dernière a été redirigée.
Description : l’API associée aux modules externes Safari n’indiquait pas à ces derniers qu’une redirection avait eu lieu au niveau du serveur. Ceci pouvait entraîner l’envoi de requêtes non autorisées. Le problème a été résolu par une meilleure prise en charge de l’API.
Référence CVE
CVE-2015-5828 : Lorenzo Fontana.
FaceTime n’est pas disponible dans certains pays ou certaines régions.
Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu responsable de problèmes liés à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web tiers ni l’exactitude des informations que ce dernier propose. Contactez le fournisseur pour plus d’informations.