Tentang konten keamanan Safari 9

Dokumen ini menjelaskan tentang konten keamanan Safari 9.

Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengkonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari lebih lanjut tentang Keamanan Produk Apple, kunjungi situs web Keamanan Produk Apple.

Untuk mengetahui informasi tentang Kunci PGP Keamanan Produk Apple, baca Cara menggunakan Kunci PGP Keamanan Produk Apple.

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut tentang kerentanan.

Untuk mempelajari tentang pembaruan keamanan lainnya, baca pembaruan keamanan Apple.

Safari 9

  • Safari

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11

    Dampak: Mengunjungi situs web yang berbahaya dapat mengakibatkan pemalsuan antarmuka pengguna

    Penjelasan: Beberapa ketidakkonsistenan antarmuka pengguna dapat memungkinkan situs web yang berbahaya menampilkan URL arbitrer. Masalah ini telah diatasi melalui logika tampilan URL yang ditingkatkan.

    CVE-ID

    CVE-2015-5764 : Antonio Sanso (@asanso) dari Adobe

    CVE-2015-5765 : Ron Masas

    CVE-2015-5767 : Krystian Kloskowski melalui Secunia, Masato Kinugawa

  • Unduhan Safari

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11

    Dampak: Riwayat karantina LaunchServices dapat memperlihatkan riwayat penelusuran

    Penjelasan: Akses ke riwayat karantina LaunchServices dapat memperlihatkan riwayat penelusuran berdasarkan unduhan file. Masalah ini telah diatasi melalui penghapusan riwayat karantina yang ditingkatkan.

  • Ekstensi Safari

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11

    Dampak: Komunikasi lokal antara ekstensi Safari dan aplikasi pendamping dapat terancam

    Penjelasan: Komunikasi lokal antara ekstensi Safari seperti pengelola kata sandi dan aplikasi pendamping aslinya dapat terancam oleh aplikasi asli lainnya. Masalah ini telah diatasi melalui saluran komunikasi baru yang disahkan antara ekstensi Safari dan aplikasi pendamping.

  • Ekstensi Safari

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11

    Dampak: Ekstensi Safari dapat diganti di disk

    Penjelasan: Ekstensi Safari yang sah dan diinstal pengguna dapat diganti pada disk tanpa meminta pengguna. Masalah ini telah diatasi dengan validasi ekstensi yang ditingkatkan.

    CVE-ID

    CVE-2015-5780 : Ben Toms dari macmule.com

  • Penelusuran Aman Safari

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11

    Dampak: Bernavigasi ke alamat IP dari situs web yang diketahui berbahaya tidak dapat memicu peringatan keamanan

    Penjelasan: Fitur Penelusuran Aman Safari tidak memperingatkan pengguna saat mengunjungi situs web yang diketahui berbahaya dengan alamat IP mereka. Masalah ini telah diatasi melalui deteksi situs berbahaya yang ditingkatkan.

    Rahul M (@rahulmfg) dari TagsDock

  • WebKit

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11

    Dampak: Gambar yang dimuat sebagian dapat menarik data di sumber

    Penjelasan: Kondisi pacu muncul dalam validasi sumber gambar. Masalah ini telah diatasi dengan validasi asal sumber daya yang ditingkatkan.

    CVE-ID

    CVE-2015-5788 : Apple

  • WebKit

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11

    Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan aplikasi terhenti tiba-tiba atau eksekusi kode arbitrer

    Penjelasan: Beberapa masalah kerusakan memori muncul di WebKit. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.

    CVE-ID

    CVE-2015-5789 : Apple

    CVE-2015-5790 : Apple

    CVE-2015-5791 : Apple

    CVE-2015-5792 : Apple

    CVE-2015-5793 : Apple

    CVE-2015-5794 : Apple

    CVE-2015-5795 : Apple

    CVE-2015-5796 : Apple

    CVE-2015-5797 : Apple

    CVE-2015-5798 : Apple

    CVE-2015-5799 : Apple

    CVE-2015-5800 : Apple

    CVE-2015-5801 : Apple

    CVE-2015-5802 : Apple

    CVE-2015-5803 : Apple

    CVE-2015-5804 : Apple

    CVE-2015-5805

    CVE-2015-5806 : Apple

    CVE-2015-5807 : Apple

    CVE-2015-5808 : Joe Vennix

    CVE-2015-5809 : Apple

    CVE-2015-5810 : Apple

    CVE-2015-5811 : Apple

    CVE-2015-5812 : Apple

    CVE-2015-5813 : Apple

    CVE-2015-5814 : Apple

    CVE-2015-5815 : Apple

    CVE-2015-5816 : Apple

    CVE-2015-5817 : Apple

    CVE-2015-5818 : Apple

    CVE-2015-5819 : Apple

    CVE-2015-5821 : Apple

    CVE-2015-5822 : Mark S. Miller dari Google

    CVE-2015-5823 : Apple

  • WebKit

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11

    Dampak: Penyerang dapat membuat cookie yang tidak diinginkan untuk situs web

    Penjelasan: WebKit akan menerima beberapa cookie agar dapat diatur dalam API document.cookie. Masalah ini telah diatasi melalui penguraian yang ditingkatkan.

    CVE-ID

    CVE-2015-3801 : Erling Ellingsen dari Facebook

  • WebKit

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11

    Dampak: API Performance dapat mengakibatkan situs web berbahaya dengan membocorkan riwayat penelusuran, aktivitas jaringan, dan gerakan mouse

    Penjelasan: API Perfomance WebKit dapat mengakibatkan situs web berbahaya dengan membocorkan riwayat penelusuran, aktivitas jaringan, dan gerakan mouse dengan mengukur waktu. Masalah ini telah diatasi dengan membatasi resolusi waktu.

    CVE-ID

    CVE-2015-5825 : Yossi Oren dkk. dari Network Security Lab di Columbia University

  • WebKit

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11

    Dampak: Mengunjungi situs web berbahaya dapat mengakibatkan panggilan yang tidak diinginkan

    Penjelasan: Masalah muncul saat menangani URL tel://, facetime://, dan facetime-audio://. Masalah ini telah diatasi melalui penanganan URL yang ditingkatkan.

    CVE-ID

    CVE-2015-5820 : Guillaume Ross, Andrei Neculaesei

  • CSS WebKit

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11

    Dampak: Situs web yang berbahaya dapat menarik data lintas sumber

    Penjelasan: Safari memungkinkan lembar gaya lintas sumber untuk dimuat dengan jenis MIME tanpa CSS yang dapat digunakan untuk pencurian data lintas sumber. Masalah ini telah diatasi dengan membatasi jenis MIME untuk lembar gaya lintas sumber.

    CVE-ID

    CVE-2015-5826 : filedescriptior, Chris Evans

  • Penyatuan JavaScript WebKit

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11

    Dampak: Referensi objek dapat dibocorkan di antara sumber terisolasi pada acara khusus, acara pesan, dan acara status pop

    Penjelasan: Masalah kebocoran objek menghancurkan batas isolasi di antara sumber. Masalah ini telah diatasi melalui pemisahan antarsumber yang ditingkatkan.

    CVE-ID

    CVE-2015-5827 : Gildas

  • Pemuatan Halaman WebKit

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11

    Dampak: WebSockets dapat melewati penerapan kebijakan konten campuran

    Penjelasan: Masalah penerapan kebijakan konten yang tidak cukup memungkinkan WebSockets memuat konten campuran. Masalah ini telah diatasi dengan memperluas penerapan kebijakan konten campuran ke WebSockets.

    Kevin G. Jones dari Higher Logic

  • Plug-in WebKit

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11

    Dampak: Plugin Safari dapat mengirim permintaan HTTP tanpa mengetahui permintaan tersebut dialihkan

    Penjelasan: API plugin Safari tidak berkomunikasi ke plugin bahwa pengalihan dari server telah terjadi. Hal ini dapat mengakibatkan permintaan yang tidak sah. Masalah ini telah diatasi melalui dukungan API yang ditingkatkan.

    CVE-ID

    CVE-2015-5828 : Lorenzo Fontana

FaceTime tidak tersedia di semua negara atau wilayah.

Informasi tentang produk yang tidak diproduksi oleh Apple, atau situs web independen tidak dikendalikan atau diuji oleh Apple, disediakan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab terkait pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pendapat terkait akurasi atau keandalan situs web pihak ketiga. Risiko adalah hal tak terpisahkan dari penggunaan Internet. Hubungi vendor untuk informasi selengkapnya.

Tanggal Dipublikasikan: