A Safari 8.0.8, a Safari 7.1.8 és a Safari 6.2.8 biztonsági tartalma

Ez a dokumentum a Safari 8.0.8, a Safari 7.1.8 és a Safari 6.2.8 biztonsági tartalmát ismerteti.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról Az Apple termékbiztonsági PGP-kulcs használata című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről Az Apple biztonsági frissítései című cikkből tájékozódhat.

A Safari 8.0.8, a Safari 7.1.8 és a Safari 6.2.8

  • A Safari alkalmazás

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 és OS X Yosemite 10.10.4.

    Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor lehetővé vált a felhasználói felület meghamisítása.

    Leírás: Az ártó szándékkal létrehozott webhelyek meg tudtak nyitni egy másik webhelyet, és fel tudták szólítani a felhasználót adatbevitelre anélkül, hogy a felhasználó meg tudta volna állapítani a felszólítás eredetét. Úgy hárították el a problémát, hogy megjelenítették a felszólítás eredetét a felhasználó számára.

    CVE-azonosító

    CVE-2015-3729 : Code Audit Labs (VulnHunt.com)

  • WebKit

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 és OS X Yosemite 10.10.4.

    Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: A WebKit motor több, memóriasérüléssel kapcsolatos problémát tartalmazott. Hatékonyabb memóriakezeléssel küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2015-3730 : Apple

    CVE-2015-3731 : Apple

    CVE-2015-3732 : Apple

    CVE-2015-3733 : Apple

    CVE-2015-3734 : Apple

    CVE-2015-3735 : Apple

    CVE-2015-3736 : Apple

    CVE-2015-3737 : Apple

    CVE-2015-3738 : Apple

    CVE-2015-3739 : Apple

    CVE-2015-3740 : Apple

    CVE-2015-3741 : Apple

    CVE-2015-3742 : Apple

    CVE-2015-3743 : Apple

    CVE-2015-3744 : Apple

    CVE-2015-3745 : Apple

    CVE-2015-3746 : Apple

    CVE-2015-3747 : Apple

    CVE-2015-3748 : Apple

    CVE-2015-3749 : Apple

  • WebKit

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 és OS X Yosemite 10.10.4.

    Érintett terület: Az ártó szándékkal létrehozott webhelyek egyszerű szöveges kérelmeket tudtak küldeni egy eredetnek a HTTP STS (Strict Transport Security) keretében.

    Leírás: Egy hiba miatt a CSP- (Content Security Policy) jelentéskérelmek nem vették figyelembe a HTTP STS-t. A HTTP STS hatékonyabb érvényesítésével küszöbölték ki a hibát.

    CVE-azonosító

    CVE-2015-3750 : Muneaki Nishimura (nishimunea)

  • WebKit

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 és OS X Yosemite 10.10.4.

    Érintett terület: Előfordult, hogy a képek betöltése sértette a webhely CSP- (Content Security Policy) irányelvét.

    Leírás: Egy probléma miatt a videovezérlő elemekkel rendelkező webhelyek betöltöttek objektumelemekbe beágyazott képeket, ami sértette a webhely CSP-irányelvét. A CSP hatékonyabb érvényesítésével küszöbölték ki a hibát.

    CVE-azonosító

    CVE-2015-3751 : Muneaki Nishimura (nishimunea)

  • WebKit

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 és OS X Yosemite 10.10.4.

    Érintett terület: Előfordult, hogy a CSP- (Content Security Policy) jelentéskérelmek kiszivárogtatták a sütiket.

    Leírás: Két probléma állt fenn azzal kapcsolatban, hogy a sütik hogyan kerültek bele a CSP-jelentéskérelmekbe. A rendszer eltérő eredetekből származó jelentéskérelmekben küldte el a sütiket, ami sértette a szabványt. A normál böngészés során beállított sütik privát böngészés közben is elküldésre kerültek. A sütik hatékonyabb kezelésével küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2015-3752 : Muneaki Nishimura (nishimunea)

  • WebKit-vászon

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 és OS X Yosemite 10.10.4.

    Érintett terület: Az ártó szándékkal létrehozott webhelyek ki tudtak szivárogtatni képadatokat különböző eredetekből.

    Leírás: A data:image erőforrásba átirányítást végző URL-ek révén begyűjtött képeket ki lehetett szivárogtatni különböző eredetekből. A vászonszennyezés hatékonyabb felügyeletével hárították el a problémát.

    CVE-azonosító

    CVE-2015-3753 : Antonio Sanso és Damien Antipa (Adobe)

  • WebKit-oldalbetöltés

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 és OS X Yosemite 10.10.4.

    Érintett terület: A gyorsítótárazott hitelesítési állapot révén felfedhetők voltak a privát böngészési előzmények.

    Leírás: Hiba lépett fel a HTTP-hitelesítés gyorsítótárazásakor. A privát böngészés során megadott hitelesítési adatok a normál böngészési adatok közé kerültek, aminek következtében felfedhetők voltak bizonyos részletek a felhasználó privát böngészési előzményeiből. A gyorsítótárazás hatékonyabb korlátozásával hárították el a problémát.

    CVE-azonosító

    CVE-2015-3754 : Dongsung Kim (@kid1ng)

  • WebKit-folyamatmodell

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 és OS X Yosemite 10.10.4.

    Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor lehetővé vált a felhasználói felület meghamisítása.

    Leírás: Hibás formázású URL megnyitásakor az ártó szándékkal létrehozott webhelyek tetszőleges URL-t tudtak megjeleníteni. Az URL-ek hatékonyabb kezelésével hárították el a problémát.

    CVE-azonosító

    CVE-2015-3755 : xisigr (Tencent; Xuanwu Lab)

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: