À propos des correctifs de sécurité de Safari 9.1

Ce document décrit les correctifs de sécurité de Safari 9.1.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez la page Web Sécurité produit Apple.

Pour en savoir plus sur la clé PGP de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.

Safari 9.1

• Safari

  Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.4

  Conséquence : la consultation d’un site Web malveillant peut permettre une utilisation détournée de l’interface utilisateur.

  Description : il existait un problème lorsque le texte d’une boîte de dialogue était en partie issu d’un site. Ce problème a été résolu par la suppression définitive de ce texte.

  Référence CVE

  CVE-2009-2197 : Alexios Fakos de n.runs AG

• Téléchargements Safari

  Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.4

  Conséquence : la consultation d’un site Web malveillant peut conduire à un déni de service du système.

  Description : il existait un problème de validation insuffisante dans la gestion de certains fichiers. Ce problème a été résolu par des vérifications supplémentaires lors de la décompression des fichiers.

  Référence CVE

  CVE-2016-1771 : Russ Cox

• Top Sites de Safari

  Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.4

  Conséquence : un site Web peut être en mesure de pister des données sensibles.

  Description : il existait un problème de stockage des cookies au niveau de la page Top Sites. Ce problème a été résolu par une meilleure gestion des états.

  Référence CVE

  CVE-2016-1772 : WoofWagly

• WebKit

  Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.4

  Conséquence : un site Web peut être en mesure de pister des données sensibles.

  Description : il existait un problème dans la gestion des URL de pièces jointes. Ce problème a été résolu par une meilleure gestion des URL.

  Référence CVE

  CVE-2016-1781 : Devdatta Akhawe de Dropbox, Inc.

• WebKit

  Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.4

  Conséquence : le traitement d’un contenu Web malveillant peut entraîner l’exécution arbitraire de code.

  Description : plusieurs problèmes de corruption de la mémoire ont été résolus par une meilleure gestion de celle-ci.

  Référence CVE

  CVE-2016-1778 : 0x1byte en collaboration avec Zero Day Initiative (ZDI) de Trend Micro et Yang Zhao de CM Security

  CVE-2016-1783 : Mihai Parparita de Google

• WebKit

  Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.4

  Conséquence : un site Web malveillant peut être en mesure d’accéder à des ports restreints sur des serveurs arbitraires.

  Description : un problème de redirection des ports a été résolu par une validation supplémentaire des ports.

  Référence CVE

  CVE-2016-1782 : Muneaki Nishimura (nishimunea) de Recruit Technologies Co.,Ltd.

• WebKit

  Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.4

  Conséquence : la consultation d’un site Web construit de manière malveillante peut faire apparaître l’emplacement géographique actuel de l’utilisateur.

  Description : l’analyse des demandes de géolocalisation présentait un problème. Ce problème a été résolu par une meilleure validation de la sécurité d’origine pour les demandes de géolocalisation.

  Référence CVE

  CVE-2016-1779 : xisigr de Tencent’s Xuanwu Lab (www.tencent.com)

• WebKit

  Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.4

  Conséquence : l’ouverture d’une URL malveillante peut entraîner la divulgation d’informations utilisateur sensibles.

  Description : un problème de redirection d’URL existait lorsque XSS auditor était utilisé en mode bloc. Ce problème a été résolu par une meilleure navigation entre les URL.

  Référence CVE

  CVE-2016-1864 : Takeshi Terada de Mitsui Bussan Secure Directions, Inc.

• Historique WebKit

  Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.4

  Conséquence : le traitement d’un contenu Web malveillant peut conduire à un blocage inopiné de Safari.

  Description : un problème d’épuisement des ressources a été résolu par une meilleure validation des entrées.

  Référence CVE

  CVE-2016-1784 : Moony Li et Jack Tang de TrendMicro et 李普君 de l’équipe 无声信息技术PKAV (PKAV.net)

• Chargement de page WebKit

  Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.4

  Conséquence : un site Web malveillant est susceptible d’extraire des données provenant d’origines multiples.

  Description : il existait un problème de mise en cache avec le codage des caractères. Ce problème a été résolu par une vérification supplémentaire des demandes.

  Référence CVE

  CVE-2016-1785 : un chercheur anonyme

• Chargement de page WebKit

  Disponible pour : OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 et OS X El Capitan 10.11.4

  Conséquence : la consultation d’un site Web malveillant peut permettre une utilisation détournée de l’interface utilisateur.

  Description : le renvoi de réponses peut permettre à un site Web malveillant d’afficher une URL arbitraire et de lire du contenu mis en cache de la destination d’origine. Ce problème a été résolu par une meilleure logique d’affichage des URL.

  Référence CVE

  CVE-2016-1786 : ma.la de LINE Corporation