A Safari 9 biztonsági tartalma

Ez a dokumentum a Safari 9 biztonsági tartalmát ismerteti.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról Az Apple termékbiztonsági PGP-kulcs használata című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről Az Apple biztonsági frissítései című cikkből tájékozódhat.

Safari 9

  • Safari

    A következőkhöz érhető el: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 és OS X El Capitan 10.11

    Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor lehetővé vált a felhasználói felület meghamisítása

    Leírás: Előfordult, hogy a felhasználói felületen lévő inkonzisztenciák miatt a rosszindulatú webhelyek meg tudtak jeleníteni tetszőleges URL-címeket. Az URL-megjelenítési logika fejlesztésével hárították el a problémákat.

    CVE-azonosító

    CVE-2015-5764 : Antonio Sanso (@asanso; Adobe)

    CVE-2015-5765 : Ron Masas

    CVE-2015-5767 : Krystian Kloskowski (a Secunia révén), Masato Kinugawa

  • Safari-letöltések

    A következőkhöz érhető el: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 és OS X El Capitan 10.11

    Érintett terület: Előfordult, hogy a LaunchServices karanténelőzményeiben megjelentek a böngészési előzmények

    Leírás: A LaunchServices karanténelőzményeihez való hozzáférés révén megjelentek a fájlletöltéseken alapuló böngészési előzmények. A karanténelőzmények hatékonyabb törlésével hárították el a problémát.

  • Safari-bővítmények

    A következőkhöz érhető el: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 és OS X El Capitan 10.11

    Érintett terület: Felfedhető volt a Safari-bővítmények és a kísérőalkalmazások között folyó helyi kommunikáció

    Leírás: A Safari-bővítmények – például a jelszókezelők – és a hozzájuk tartozó natív alkalmazások közötti helyi kommunikációt fel tudta fedni egy másik natív alkalmazás. A Safari-bővítmények és a kísérőalkalmazások közötti új, hitelesített kommunikációs csatornával hárították el a problémát.

  • Safari-bővítmények

    A következőkhöz érhető el: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 és OS X El Capitan 10.11

    Érintett terület: El lehetett helyezni a Safari-bővítményeket egy lemezen

    Leírás: El lehetett helyezni lemezre a felhasználó által telepített, hitelesített Safari-bővítményeket a felhasználó figyelmeztetése nélkül. A bővítmények hatékonyabb hitelesítésével hárították el a problémát.

    CVE-azonosító

    CVE-2015-5780 : Ben Toms (macmule.com)

  • Biztonságos böngészés a Safariban

    A következőkhöz érhető el: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 és OS X El Capitan 10.11

    Érintett terület: Nem jelent meg biztonsági figyelmeztetés olyan webhelyek IP-címének megnyitásakor, amelyekről tudni lehetett, hogy rosszindulatúak

    Leírás: A Safari Biztonságos böngészés funkciója nem figyelmeztette a felhasználókat, amikor olyan webhelyeket látogattak meg, amelyekről az IP-címük alapján tudni lehetett, hogy rosszindulatúak. A rosszindulatú webhelyek hatékonyabb felismerésével hárították el a problémát.

    Rahul M (@rahulmfg; TagsDock)

  • WebKit

    A következőkhöz érhető el: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 és OS X El Capitan 10.11

    Érintett terület: A részben betöltött képek ki tudtak szivárogtatni képadatokat különböző eredetekből

    Leírás: Egy versenyhelyzeti probléma lépett fel a képek eredetének hitelesítésekor. Az erőforrások eredetének hatékonyabb hitelesítésével hárították el a problémát.

    CVE-azonosító

    CVE-2015-5788 : Apple

  • WebKit

    A következőkhöz érhető el: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 és OS X El Capitan 10.11

    Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett

    Leírás: A WebKit motor több, memóriasérüléssel kapcsolatos problémát tartalmazott. A memóriakezelés javítása révén küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2015-5789 : Apple

    CVE-2015-5790 : Apple

    CVE-2015-5791 : Apple

    CVE-2015-5792 : Apple

    CVE-2015-5793 : Apple

    CVE-2015-5794 : Apple

    CVE-2015-5795 : Apple

    CVE-2015-5796 : Apple

    CVE-2015-5797 : Apple

    CVE-2015-5798 : Apple

    CVE-2015-5799 : Apple

    CVE-2015-5800 : Apple

    CVE-2015-5801 : Apple

    CVE-2015-5802 : Apple

    CVE-2015-5803 : Apple

    CVE-2015-5804 : Apple

    CVE-2015-5805

    CVE-2015-5806 : Apple

    CVE-2015-5807 : Apple

    CVE-2015-5808 : Joe Vennix

    CVE-2015-5809 : Apple

    CVE-2015-5810 : Apple

    CVE-2015-5811 : Apple

    CVE-2015-5812 : Apple

    CVE-2015-5813 : Apple

    CVE-2015-5814 : Apple

    CVE-2015-5815 : Apple

    CVE-2015-5816 : Apple

    CVE-2015-5817 : Apple

    CVE-2015-5818 : Apple

    CVE-2015-5819 : Apple

    CVE-2015-5821 : Apple

    CVE-2015-5822 : Mark S. Miller (Google)

    CVE-2015-5823 : Apple

  • WebKit

    A következőkhöz érhető el: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 és OS X El Capitan 10.11

    Érintett terület: A támadók nemkívánatos sütiket tudtak létrehozni a webhelyek esetén

    Leírás: A WebKit több sütit is elfogadott a document.cookie API-ban való beállításhoz. Hatékonyabb elemzéssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-3801 : Erling Ellingsen (Facebook)

  • WebKit

    A következőkhöz érhető el: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 és OS X El Capitan 10.11

    Érintett terület: Előfordult, hogy a Performance API lehetővé tette a rosszindulatú webhelyeknek a böngészési előzmények, a hálózati tevékenységek és az egérmozgások kiszivárogtatását

    Leírás: Előfordult, hogy a WebKit Performance API-ja időmérés révén lehetővé tette a rosszindulatú webhelyeknek a böngészési előzmények, a hálózati tevékenységek és az egérmozgások kiszivárogtatását. Az időfelbontás korlátozásával hárították el a problémát.

    CVE-azonosító

    CVE-2015-5825 : Yossi Oren és munkatársai (Columbia University, Network Security Lab)

  • WebKit

    A következőkhöz érhető el: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 és OS X El Capitan 10.11

    Érintett terület: Előfordult, hogy a rosszindulatú webhelyek meglátogatásakor nem kívánt tárcsázásra került sor

    Leírás: Hiba lépett fel a tel://, a facetime:// és a facetime-audio:// URL-ek kezelésekor. Az URL-ek hatékonyabb kezelésével hárították el a problémát.

    CVE-azonosító

    CVE-2015-5820 : Guillaume Ross, Andrei Neculaesei

  • WebKit CSS

    A következőkhöz érhető el: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 és OS X El Capitan 10.11

    Érintett terület: A rosszindulatú webhelyek ki tudtak szivárogtatni adatokat különböző eredetekből

    Leírás: A Safari engedélyezte a különböző eredetekből származó stíluslapok betöltését nem CSS MIME típusokkal, amelyek felhasználhatók voltak a különböző eredetekből származó adatok kiszivárogtatására. Azáltal hárították el a problémát, hogy korlátozták a MIME típusokat a különböző eredetekből származó stíluslapok esetén.

    CVE-azonosító

    CVE-2015-5826 : filedescriptior, Chris Evans

  • WebKit JavaScript-kötések

    A következőkhöz érhető el: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 és OS X El Capitan 10.11

    Érintett terület: Ki lehetett szivárogtatni az objektumhivatkozásokat az izolált eredetek között egyéni események, üzenetesemények és „popstate” események során

    Leírás: Egy objektumkiszivárgási probléma miatt megtört az izolációs határ az eredetek között. Az eredetek közötti hatékonyabb izolációval hárították el a problémát.

    CVE-azonosító

    CVE-2015-5827 : Gildas

  • WebKit-oldalbetöltés

    A következőkhöz érhető el: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 és OS X El Capitan 10.11

    Érintett terület: A WebSocketek meg tudták kerülni a kevert tartalmakra vonatkozó irányelv érvényesítését

    Leírás: Egy elégtelen irányelv-érvényesítést lehetővé tevő hiba miatt a WebSocketek be tudtak tölteni kevert tartalmakat. Azáltal hárították el a problémát, hogy kiterjesztették a kevert tartalmakra vonatkozó irányelv érvényesítését a WebSocketekre.

    Kevin G. Jones (Higher Logic)

  • WebKit-bővítmények

    A következőkhöz érhető el: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 és OS X El Capitan 10.11

    Érintett terület: Előfordult, hogy a Safari-bővítmények úgy küldtek HTTP-kérést, hogy tudtak volna a kérés átirányításáról

    Leírás: A Safari-bővítményeket kezelő API nem kommunikálta a bővítmények felé, hogy kiszolgálóoldali átirányítás történt, ami miatt jogosulatlan kérésekre kerülhetett sor. Az API hatékonyabb támogatásával hárították el a problémát.

    CVE-azonosító

    CVE-2015-5828 : Lorenzo Fontana

A FaceTime nem minden országban vagy térségben érhető el.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: