A Safari 8.0.8, a Safari 7.1.8 és a Safari 6.2.8 biztonsági tartalma

Ez a dokumentum a Safari 8.0.8, a Safari 7.1.8 és a Safari 6.2.8 biztonsági tartalmát ismerteti.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról Az Apple termékbiztonsági PGP-kulcs használata című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről Az Apple biztonsági frissítései című cikkből tájékozódhat.

A Safari 8.0.8, a Safari 7.1.8 és a Safari 6.2.8

• A Safari alkalmazás

  A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 és OS X Yosemite 10.10.4.

  Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor lehetővé vált a felhasználói felület meghamisítása.

  Leírás: Az ártó szándékkal létrehozott webhelyek meg tudtak nyitni egy másik webhelyet, és fel tudták szólítani a felhasználót adatbevitelre anélkül, hogy a felhasználó meg tudta volna állapítani a felszólítás eredetét. Úgy hárították el a problémát, hogy megjelenítették a felszólítás eredetét a felhasználó számára.

  CVE-azonosító

  CVE-2015-3729 : Code Audit Labs (VulnHunt.com)

• WebKit

  A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 és OS X Yosemite 10.10.4.

  Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

  Leírás: A WebKit motor több, memóriasérüléssel kapcsolatos problémát tartalmazott. Hatékonyabb memóriakezeléssel küszöbölték ki a problémákat.

  CVE-azonosító

  CVE-2015-3730 : Apple

  CVE-2015-3731 : Apple

  CVE-2015-3732 : Apple

  CVE-2015-3733 : Apple

  CVE-2015-3734 : Apple

  CVE-2015-3735 : Apple

  CVE-2015-3736 : Apple

  CVE-2015-3737 : Apple

  CVE-2015-3738 : Apple

  CVE-2015-3739 : Apple

  CVE-2015-3740 : Apple

  CVE-2015-3741 : Apple

  CVE-2015-3742 : Apple

  CVE-2015-3743 : Apple

  CVE-2015-3744 : Apple

  CVE-2015-3745 : Apple

  CVE-2015-3746 : Apple

  CVE-2015-3747 : Apple

  CVE-2015-3748 : Apple

  CVE-2015-3749 : Apple

• WebKit

  A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 és OS X Yosemite 10.10.4.

  Érintett terület: Az ártó szándékkal létrehozott webhelyek egyszerű szöveges kérelmeket tudtak küldeni egy eredetnek a HTTP STS (Strict Transport Security) keretében.

  Leírás: Egy hiba miatt a CSP- (Content Security Policy) jelentéskérelmek nem vették figyelembe a HTTP STS-t. A HTTP STS hatékonyabb érvényesítésével küszöbölték ki a hibát.

  CVE-azonosító

  CVE-2015-3750 : Muneaki Nishimura (nishimunea)

• WebKit

  A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 és OS X Yosemite 10.10.4.

  Érintett terület: Előfordult, hogy a képek betöltése sértette a webhely CSP- (Content Security Policy) irányelvét.

  Leírás: Egy probléma miatt a videovezérlő elemekkel rendelkező webhelyek betöltöttek objektumelemekbe beágyazott képeket, ami sértette a webhely CSP-irányelvét. A CSP hatékonyabb érvényesítésével küszöbölték ki a hibát.

  CVE-azonosító

  CVE-2015-3751 : Muneaki Nishimura (nishimunea)

• WebKit

  A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 és OS X Yosemite 10.10.4.

  Érintett terület: Előfordult, hogy a CSP- (Content Security Policy) jelentéskérelmek kiszivárogtatták a sütiket.

  Leírás: Két probléma állt fenn azzal kapcsolatban, hogy a sütik hogyan kerültek bele a CSP-jelentéskérelmekbe. A rendszer eltérő eredetekből származó jelentéskérelmekben küldte el a sütiket, ami sértette a szabványt. A normál böngészés során beállított sütik privát böngészés közben is elküldésre kerültek. A sütik hatékonyabb kezelésével küszöbölték ki a problémákat.

  CVE-azonosító

  CVE-2015-3752 : Muneaki Nishimura (nishimunea)

• WebKit-vászon

  A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 és OS X Yosemite 10.10.4.

  Érintett terület: Az ártó szándékkal létrehozott webhelyek ki tudtak szivárogtatni képadatokat különböző eredetekből.

  Leírás: A data:image erőforrásba átirányítást végző URL-ek révén begyűjtött képeket ki lehetett szivárogtatni különböző eredetekből. A vászonszennyezés hatékonyabb felügyeletével hárították el a problémát.

  CVE-azonosító

  CVE-2015-3753 : Antonio Sanso és Damien Antipa (Adobe)

• WebKit-oldalbetöltés

  A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 és OS X Yosemite 10.10.4.

  Érintett terület: A gyorsítótárazott hitelesítési állapot révén felfedhetők voltak a privát böngészési előzmények.

  Leírás: Hiba lépett fel a HTTP-hitelesítés gyorsítótárazásakor. A privát böngészés során megadott hitelesítési adatok a normál böngészési adatok közé kerültek, aminek következtében felfedhetők voltak bizonyos részletek a felhasználó privát böngészési előzményeiből. A gyorsítótárazás hatékonyabb korlátozásával hárították el a problémát.

  CVE-azonosító

  CVE-2015-3754 : Dongsung Kim (@kid1ng)

• WebKit-folyamatmodell

  A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 és OS X Yosemite 10.10.4.

  Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor lehetővé vált a felhasználói felület meghamisítása.

  Leírás: Hibás formázású URL megnyitásakor az ártó szándékkal létrehozott webhelyek tetszőleges URL-t tudtak megjeleníteni. Az URL-ek hatékonyabb kezelésével hárították el a problémát.

  CVE-azonosító

  CVE-2015-3755 : xisigr (Tencent; Xuanwu Lab)