A Safari 9.1.2 biztonsági tartalma
Ez a dokumentum a Safari 9.1.2 biztonsági tartalmát ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a javítások vagy új szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
A biztonsági kérdésekről az Apple-termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
Safari 9.1.2
WebKit
A következőkhöz érhető el: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 és OS X El Capitan 10.11.6.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több memóriasérüléssel kapcsolatos problémát.
CVE-2016-4589 : Tongbo Luo és Bo Qu (Palo Alto Networks)
CVE-2016-4622 : Samuel Gross (a Trend Micro Zero Day kezdeményezésének közreműködőjeként)
CVE-2016-4623 : Apple
CVE-2016-4624 : Apple
CVE-2016-4586 : Apple
WebKit
A következőkhöz érhető el: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 és OS X El Capitan 10.11.6.
Érintett terület: A rosszindulatú webhelyek meglátogatásakor felfedhetők voltak olyan képadatok, amelyek egy másik webhelyről származtak.
Leírás: Egy időzítéssel kapcsolatos probléma lépett fel az SVG feldolgozásakor. Hatékonyabb hitelesítéssel hárították el a problémát.
CVE-2016-4583 : Roeland Krak
WebKit
A következőkhöz érhető el: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 és OS X El Capitan 10.11.6.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott weboldalak meglátogatásakor szolgáltatásmegtagadás lépett fel.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriafelhasználási hibát.
CVE-2016-4592 : Mikhail
WebKit
A következőkhöz érhető el: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 és OS X El Capitan 10.11.6.
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meg lehetett szerezni a fájlrendszerben tárolt felhasználói adatokat.
Leírás: Engedélyezési hiba lépett fel a helyváltozó kezelésekor. További tulajdonjog-ellenőrzésekkel hárították el a problémát.
CVE-2016-4591 : ma.la (LINE Corporation)
WebKit
A következőkhöz érhető el: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 és OS X El Capitan 10.11.6.
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor lehetővé vált a felhasználói felület meghamisítása.
Leírás: Eredetöröklődési probléma lépett fel az „about: URL” típusú hivatkozások elemzésekor. A biztonsági eredetek hatékonyabb hitelesítésével hárították el a hibát.
CVE-2016-4590 : xisigr (Tencent; Xuanwu Lab; www.tencent.com)
WebKit JavaScript-kötések
A következőkhöz érhető el: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 és OS X El Capitan 10.11.6.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor parancsfájl-végrehajtásra került sor nem HTTP-szolgáltatás keretében.
Leírás: XPXSS (protokollok és webhelyek közötti, parancsfájlt alkalmazó) típusú probléma lépett fel a Safariban, amikor a felhasználók a HTTP/0.9 protokollal kompatibilis, nem HTTP-szolgáltatásoknak küldtek be űrlapokat. Azáltal hárították el a problémát, hogy letiltották a HTTP/0.9 protokoll révén betöltött erőforrásokhoz kapcsolódó parancsfájlokat és bővítményeket.
CVE-2016-4651 : Obscure
WebKit-oldalbetöltés
A következőkhöz érhető el: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 és OS X El Capitan 10.11.6.
Érintett terület: A rosszindulatú webhelyek ki tudtak szivárogtatni adatokat különböző eredetekből.
Leírás: Webhelyek közötti, parancsfájlokkal kapcsolatos probléma állt fenn a Safari általi URL-átirányítások során. Azáltal hárították el a problémát, hogy hatékonyabb URL-ellenőrzést vezettek be az átirányítások során.
CVE-2016-4585 : Takeshi Terada (Mitsui Bussan Secure Directions, Inc.; www.mbsd.jp)
WebKit-oldalbetöltés
A következőkhöz érhető el: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 és OS X El Capitan 10.11.6.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több memóriasérüléssel kapcsolatos problémát.
CVE-2016-4584 : Chris Vienneau
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.