À propos des correctifs de sécurité de Safari 9.1
Ce document décrit les correctifs de sécurité de Safari 9.1.
Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez la page Web Sécurité produit Apple.
Pour en savoir plus sur la clé PGP de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.
Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.
Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.
Safari 9.1
Safari
Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.4
Conséquence : la consultation d’un site Web malveillant peut permettre une utilisation détournée de l’interface utilisateur.
Description : il existait un problème lorsque le texte d’une boîte de dialogue était en partie issu d’un site. Ce problème a été résolu par la suppression définitive de ce texte.
Référence CVE
CVE-2009-2197 : Alexios Fakos de n.runs AG
Téléchargements Safari
Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.4
Conséquence : la consultation d’un site Web malveillant peut conduire à un déni de service du système.
Description : il existait un problème de validation insuffisante dans la gestion de certains fichiers. Ce problème a été résolu par des vérifications supplémentaires lors de la décompression des fichiers.
Référence CVE
CVE-2016-1771 : Russ Cox
Top Sites de Safari
Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.4
Conséquence : un site Web peut être en mesure de pister des données sensibles.
Description : il existait un problème de stockage des cookies au niveau de la page Top Sites. Ce problème a été résolu par une meilleure gestion des états.
Référence CVE
CVE-2016-1772 : WoofWagly
WebKit
Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.4
Conséquence : un site Web peut être en mesure de pister des données sensibles.
Description : il existait un problème dans la gestion des URL de pièces jointes. Ce problème a été résolu par une meilleure gestion des URL.
Référence CVE
CVE-2016-1781 : Devdatta Akhawe de Dropbox, Inc.
WebKit
Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.4
Conséquence : le traitement d’un contenu Web malveillant peut entraîner l’exécution arbitraire de code.
Description : plusieurs problèmes de corruption de la mémoire ont été résolus par une meilleure gestion de celle-ci.
Référence CVE
CVE-2016-1778 : 0x1byte en collaboration avec Zero Day Initiative (ZDI) de Trend Micro et Yang Zhao de CM Security
CVE-2016-1783 : Mihai Parparita de Google
WebKit
Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.4
Conséquence : un site Web malveillant peut être en mesure d’accéder à des ports restreints sur des serveurs arbitraires.
Description : un problème de redirection des ports a été résolu par une validation supplémentaire des ports.
Référence CVE
CVE-2016-1782 : Muneaki Nishimura (nishimunea) de Recruit Technologies Co.,Ltd.
WebKit
Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.4
Conséquence : la consultation d’un site Web construit de manière malveillante peut faire apparaître l’emplacement géographique actuel de l’utilisateur.
Description : l’analyse des demandes de géolocalisation présentait un problème. Ce problème a été résolu par une meilleure validation de la sécurité d’origine pour les demandes de géolocalisation.
Référence CVE
CVE-2016-1779 : xisigr de Tencent’s Xuanwu Lab (www.tencent.com)
WebKit
Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.4
Conséquence : l’ouverture d’une URL malveillante peut entraîner la divulgation d’informations utilisateur sensibles.
Description : un problème de redirection d’URL existait lorsque XSS auditor était utilisé en mode bloc. Ce problème a été résolu par une meilleure navigation entre les URL.
Référence CVE
CVE-2016-1864 : Takeshi Terada de Mitsui Bussan Secure Directions, Inc.
Historique WebKit
Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.4
Conséquence : le traitement d’un contenu Web malveillant peut conduire à un blocage inopiné de Safari.
Description : un problème d’épuisement des ressources a été résolu par une meilleure validation des entrées.
Référence CVE
CVE-2016-1784 : Moony Li et Jack Tang de TrendMicro et 李普君 de l’équipe 无声信息技术PKAV (PKAV.net)
Chargement de page WebKit
Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.4
Conséquence : un site Web malveillant est susceptible d’extraire des données provenant d’origines multiples.
Description : il existait un problème de mise en cache avec le codage des caractères. Ce problème a été résolu par une vérification supplémentaire des demandes.
Référence CVE
CVE-2016-1785 : un chercheur anonyme
Chargement de page WebKit
Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.4
Conséquence : la consultation d’un site Web malveillant peut permettre une utilisation détournée de l’interface utilisateur.
Description : le renvoi de réponses peut permettre à un site Web malveillant d’afficher une URL arbitraire et de lire du contenu mis en cache de la destination d’origine. Ce problème a été résolu par une meilleure logique d’affichage des URL.
Référence CVE
CVE-2016-1786 : ma.la de LINE Corporation
Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu responsable de problèmes liés à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web tiers ni l’exactitude des informations que ce dernier propose. Contactez le fournisseur pour plus d’informations.