Tentang konten keamanan Safari 9
Dokumen ini menjelaskan tentang konten keamanan Safari 9.
Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengkonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari lebih lanjut tentang Keamanan Produk Apple, kunjungi situs web Keamanan Produk Apple.
Untuk mengetahui informasi tentang Kunci PGP Keamanan Produk Apple, baca Cara menggunakan Kunci PGP Keamanan Produk Apple.
Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut tentang kerentanan.
Untuk mempelajari tentang pembaruan keamanan lainnya, baca pembaruan keamanan Apple.
Safari 9
Safari
Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11
Dampak: Mengunjungi situs web yang berbahaya dapat mengakibatkan pemalsuan antarmuka pengguna
Penjelasan: Beberapa ketidakkonsistenan antarmuka pengguna dapat memungkinkan situs web yang berbahaya menampilkan URL arbitrer. Masalah ini telah diatasi melalui logika tampilan URL yang ditingkatkan.
CVE-ID
CVE-2015-5764 : Antonio Sanso (@asanso) dari Adobe
CVE-2015-5765 : Ron Masas
CVE-2015-5767 : Krystian Kloskowski melalui Secunia, Masato Kinugawa
Unduhan Safari
Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11
Dampak: Riwayat karantina LaunchServices dapat memperlihatkan riwayat penelusuran
Penjelasan: Akses ke riwayat karantina LaunchServices dapat memperlihatkan riwayat penelusuran berdasarkan unduhan file. Masalah ini telah diatasi melalui penghapusan riwayat karantina yang ditingkatkan.
Ekstensi Safari
Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11
Dampak: Komunikasi lokal antara ekstensi Safari dan aplikasi pendamping dapat terancam
Penjelasan: Komunikasi lokal antara ekstensi Safari seperti pengelola kata sandi dan aplikasi pendamping aslinya dapat terancam oleh aplikasi asli lainnya. Masalah ini telah diatasi melalui saluran komunikasi baru yang disahkan antara ekstensi Safari dan aplikasi pendamping.
Ekstensi Safari
Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11
Dampak: Ekstensi Safari dapat diganti di disk
Penjelasan: Ekstensi Safari yang sah dan diinstal pengguna dapat diganti pada disk tanpa meminta pengguna. Masalah ini telah diatasi dengan validasi ekstensi yang ditingkatkan.
CVE-ID
CVE-2015-5780 : Ben Toms dari macmule.com
Penelusuran Aman Safari
Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11
Dampak: Bernavigasi ke alamat IP dari situs web yang diketahui berbahaya tidak dapat memicu peringatan keamanan
Penjelasan: Fitur Penelusuran Aman Safari tidak memperingatkan pengguna saat mengunjungi situs web yang diketahui berbahaya dengan alamat IP mereka. Masalah ini telah diatasi melalui deteksi situs berbahaya yang ditingkatkan.
Rahul M (@rahulmfg) dari TagsDock
WebKit
Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11
Dampak: Gambar yang dimuat sebagian dapat menarik data di sumber
Penjelasan: Kondisi pacu muncul dalam validasi sumber gambar. Masalah ini telah diatasi dengan validasi asal sumber daya yang ditingkatkan.
CVE-ID
CVE-2015-5788 : Apple
WebKit
Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan aplikasi terhenti tiba-tiba atau eksekusi kode arbitrer
Penjelasan: Beberapa masalah kerusakan memori muncul di WebKit. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-ID
CVE-2015-5789 : Apple
CVE-2015-5790 : Apple
CVE-2015-5791 : Apple
CVE-2015-5792 : Apple
CVE-2015-5793 : Apple
CVE-2015-5794 : Apple
CVE-2015-5795 : Apple
CVE-2015-5796 : Apple
CVE-2015-5797 : Apple
CVE-2015-5798 : Apple
CVE-2015-5799 : Apple
CVE-2015-5800 : Apple
CVE-2015-5801 : Apple
CVE-2015-5802 : Apple
CVE-2015-5803 : Apple
CVE-2015-5804 : Apple
CVE-2015-5805
CVE-2015-5806 : Apple
CVE-2015-5807 : Apple
CVE-2015-5808 : Joe Vennix
CVE-2015-5809 : Apple
CVE-2015-5810 : Apple
CVE-2015-5811 : Apple
CVE-2015-5812 : Apple
CVE-2015-5813 : Apple
CVE-2015-5814 : Apple
CVE-2015-5815 : Apple
CVE-2015-5816 : Apple
CVE-2015-5817 : Apple
CVE-2015-5818 : Apple
CVE-2015-5819 : Apple
CVE-2015-5821 : Apple
CVE-2015-5822 : Mark S. Miller dari Google
CVE-2015-5823 : Apple
WebKit
Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11
Dampak: Penyerang dapat membuat cookie yang tidak diinginkan untuk situs web
Penjelasan: WebKit akan menerima beberapa cookie agar dapat diatur dalam API document.cookie. Masalah ini telah diatasi melalui penguraian yang ditingkatkan.
CVE-ID
CVE-2015-3801 : Erling Ellingsen dari Facebook
WebKit
Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11
Dampak: API Performance dapat mengakibatkan situs web berbahaya dengan membocorkan riwayat penelusuran, aktivitas jaringan, dan gerakan mouse
Penjelasan: API Perfomance WebKit dapat mengakibatkan situs web berbahaya dengan membocorkan riwayat penelusuran, aktivitas jaringan, dan gerakan mouse dengan mengukur waktu. Masalah ini telah diatasi dengan membatasi resolusi waktu.
CVE-ID
CVE-2015-5825 : Yossi Oren dkk. dari Network Security Lab di Columbia University
WebKit
Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11
Dampak: Mengunjungi situs web berbahaya dapat mengakibatkan panggilan yang tidak diinginkan
Penjelasan: Masalah muncul saat menangani URL tel://, facetime://, dan facetime-audio://. Masalah ini telah diatasi melalui penanganan URL yang ditingkatkan.
CVE-ID
CVE-2015-5820 : Guillaume Ross, Andrei Neculaesei
CSS WebKit
Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11
Dampak: Situs web yang berbahaya dapat menarik data lintas sumber
Penjelasan: Safari memungkinkan lembar gaya lintas sumber untuk dimuat dengan jenis MIME tanpa CSS yang dapat digunakan untuk pencurian data lintas sumber. Masalah ini telah diatasi dengan membatasi jenis MIME untuk lembar gaya lintas sumber.
CVE-ID
CVE-2015-5826 : filedescriptior, Chris Evans
Penyatuan JavaScript WebKit
Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11
Dampak: Referensi objek dapat dibocorkan di antara sumber terisolasi pada acara khusus, acara pesan, dan acara status pop
Penjelasan: Masalah kebocoran objek menghancurkan batas isolasi di antara sumber. Masalah ini telah diatasi melalui pemisahan antarsumber yang ditingkatkan.
CVE-ID
CVE-2015-5827 : Gildas
Pemuatan Halaman WebKit
Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11
Dampak: WebSockets dapat melewati penerapan kebijakan konten campuran
Penjelasan: Masalah penerapan kebijakan konten yang tidak cukup memungkinkan WebSockets memuat konten campuran. Masalah ini telah diatasi dengan memperluas penerapan kebijakan konten campuran ke WebSockets.
Kevin G. Jones dari Higher Logic
Plug-in WebKit
Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11
Dampak: Plugin Safari dapat mengirim permintaan HTTP tanpa mengetahui permintaan tersebut dialihkan
Penjelasan: API plugin Safari tidak berkomunikasi ke plugin bahwa pengalihan dari server telah terjadi. Hal ini dapat mengakibatkan permintaan yang tidak sah. Masalah ini telah diatasi melalui dukungan API yang ditingkatkan.
CVE-ID
CVE-2015-5828 : Lorenzo Fontana
FaceTime tidak tersedia di semua negara atau wilayah.
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.