À propos des correctifs de sécurité de Safari 9.1

Ce document décrit les correctifs de sécurité de Safari 9.1.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez la page Web Sécurité produit Apple.

Pour en savoir plus sur la clé PGP de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.

Safari 9.1

  • Safari

    Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.4

    Conséquence : la consultation d’un site Web malveillant peut permettre une utilisation détournée de l’interface utilisateur.

    Description : il existait un problème lorsque le texte d’une boîte de dialogue était en partie issu d’un site. Ce problème a été résolu par la suppression définitive de ce texte.

    Référence CVE

    CVE-2009-2197 : Alexios Fakos de n.runs AG

  • Téléchargements Safari

    Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.4

    Conséquence : la consultation d’un site Web malveillant peut conduire à un déni de service du système.

    Description : il existait un problème de validation insuffisante dans la gestion de certains fichiers. Ce problème a été résolu par des vérifications supplémentaires lors de la décompression des fichiers.

    Référence CVE

    CVE-2016-1771 : Russ Cox

  • Top Sites de Safari

    Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.4

    Conséquence : un site Web peut être en mesure de pister des données sensibles.

    Description : il existait un problème de stockage des cookies au niveau de la page Top Sites. Ce problème a été résolu par une meilleure gestion des états.

    Référence CVE

    CVE-2016-1772 : WoofWagly

  • WebKit

    Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.4

    Conséquence : un site Web peut être en mesure de pister des données sensibles.

    Description : il existait un problème dans la gestion des URL de pièces jointes. Ce problème a été résolu par une meilleure gestion des URL.

    Référence CVE

    CVE-2016-1781 : Devdatta Akhawe de Dropbox, Inc.

  • WebKit

    Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.4

    Conséquence : le traitement d’un contenu Web malveillant peut entraîner l’exécution arbitraire de code.

    Description : plusieurs problèmes de corruption de la mémoire ont été résolus par une meilleure gestion de celle-ci.

    Référence CVE

    CVE-2016-1778 : 0x1byte en collaboration avec Zero Day Initiative (ZDI) de Trend Micro et Yang Zhao de CM Security

    CVE-2016-1783 : Mihai Parparita de Google

  • WebKit

    Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.4

    Conséquence : un site Web malveillant peut être en mesure d’accéder à des ports restreints sur des serveurs arbitraires.

    Description : un problème de redirection des ports a été résolu par une validation supplémentaire des ports.

    Référence CVE

    CVE-2016-1782 : Muneaki Nishimura (nishimunea) de Recruit Technologies Co.,Ltd.

  • WebKit

    Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.4

    Conséquence : la consultation d’un site Web construit de manière malveillante peut faire apparaître l’emplacement géographique actuel de l’utilisateur.

    Description : l’analyse des demandes de géolocalisation présentait un problème. Ce problème a été résolu par une meilleure validation de la sécurité d’origine pour les demandes de géolocalisation.

    Référence CVE

    CVE-2016-1779 : xisigr de Tencent’s Xuanwu Lab (www.tencent.com)

  • WebKit

    Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.4

    Conséquence : l’ouverture d’une URL malveillante peut entraîner la divulgation d’informations utilisateur sensibles.

    Description : un problème de redirection d’URL existait lorsque XSS auditor était utilisé en mode bloc. Ce problème a été résolu par une meilleure navigation entre les URL.

    Référence CVE

    CVE-2016-1864 : Takeshi Terada de Mitsui Bussan Secure Directions, Inc.

  • Historique WebKit

    Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.4

    Conséquence : le traitement d’un contenu Web malveillant peut conduire à un blocage inopiné de Safari.

    Description : un problème d’épuisement des ressources a été résolu par une meilleure validation des entrées.

    Référence CVE

    CVE-2016-1784 : Moony Li et Jack Tang de TrendMicro et 李普君 de l’équipe 无声信息技术PKAV (PKAV.net)

  • Chargement de page WebKit

    Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.4

    Conséquence : un site Web malveillant est susceptible d’extraire des données provenant d’origines multiples.

    Description : il existait un problème de mise en cache avec le codage des caractères. Ce problème a été résolu par une vérification supplémentaire des demandes.

    Référence CVE

    CVE-2016-1785 : un chercheur anonyme

  • Chargement de page WebKit

    Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.4

    Conséquence : la consultation d’un site Web malveillant peut permettre une utilisation détournée de l’interface utilisateur.

    Description : le renvoi de réponses peut permettre à un site Web malveillant d’afficher une URL arbitraire et de lire du contenu mis en cache de la destination d’origine. Ce problème a été résolu par une meilleure logique d’affichage des URL.

    Référence CVE

    CVE-2016-1786 : ma.la de LINE Corporation

Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu pour responsable de tout problème lié à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web, ou l’exactitude des informations que ce dernier propose. L’utilisation d’Internet induit en effet des risques. Contactez le fournisseur pour obtenir des informations supplémentaires. Les autres noms de société et de produit peuvent constituer des marques déposées de leurs détenteurs respectifs.

Date de publication:Tue Jun 21 19:45:37 GMT 2016