Safari 9.1 のセキュリティコンテンツについて

Safari 9.1 のセキュリティコンテンツについて説明します。

Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては、「Apple 製品のセキュリティ」Web サイトを参照してください。

Apple Product Security PGP キーについては、こちらの記事を参照してください。

CVE ID を使って脆弱性を調べることもできます。

その他のセキュリティアップデートについては、こちらの記事を参照してください。

Safari 9.1

  • Safari

    対象 OS:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5、OS X El Capitan v10.11.4

    影響:悪意のある Web サイトにアクセスすると、ユーザインターフェイスを偽装される可能性がある。

    説明:ダイアログのテキストに、ページ側から提供されたテキストが含まれるという問題がありました。この問題は、そうしたテキストを除外することで解決されました。

    CVE-ID

    CVE-2009-2197:n.runs AG の Alexios Fakos 氏

  • Safari のダウンロード

    対象 OS:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5、OS X El Capitan v10.11.4

    影響:悪意を持って作成された Web ページにアクセスすると、サービス運用妨害を受ける可能性がある。

    説明:特定のファイルの処理に、入力検証不備の脆弱性が存在します。この問題は、ファイルの展開時にチェックを追加することで解決されました。

    CVE-ID

    CVE-2016-1771:Russ Cox 氏

  • Safari の Top Sites

    対象 OS:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5、OS X El Capitan v10.11.4

    影響:Web サイトに重要なユーザ情報を追跡される可能性がある。

    説明:Top Sites ページに、Cookie の保存に関する問題がありました。この問題はステータス管理を改善したことで解消されました。

    CVE-ID

    CVE-2016-1772:WoofWagly 氏

  • WebKit

    対象 OS:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5、OS X El Capitan v10.11.4

    影響:Web サイトに重要なユーザ情報を追跡される可能性がある。

    説明:添付 URL の処理に問題がありました。この問題は、URL の処理を改善することで解決されました。

    CVE-ID

    CVE-2016-1781:Dropbox, Inc. の Devdatta Akhawe 氏

  • WebKit

    対象 OS:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5、OS X El Capitan v10.11.4

    影響:悪意を持って作成された Web コンテンツを処理すると、任意のコードを実行される可能性がある。

    説明:メモリ処理を強化し、複数のメモリ破損の脆弱性に対処しました。

    CVE-ID

    CVE-2016-1778:Trend Micro の Zero Day Initiative (ZDI) に協力する 0x1byte 氏、および CM Security の Yang Zhao 氏

    CVE-2016-1783:Google の Mihai Parparita 氏

  • WebKit

    対象 OS:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5、OS X El Capitan v10.11.4

    影響:悪意のある Web サイトに、任意のサーバの制限されたポートにアクセスされる可能性がある。

    説明:ポートの検証を強化して、ポートリダイレクトの脆弱性に対処しました。

    CVE-ID

    CVE-2016-1782:Recruit Technologies Co.,Ltd. の Muneaki Nishimura 氏 (nishimunea)

  • WebKit

    対象 OS:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5、OS X El Capitan v10.11.4

    影響:悪意を持って作成された Web サイトにアクセスすると、ユーザの現在の位置情報が漏洩する可能性がある。

    説明:地理位置情報 (geolocation) のリクエストの解析に問題がありました。この問題は、地理位置情報のリクエストに対してセキュリティオリジンの検証を強化することで解決されました。

    CVE-ID

    CVE-2016-1779:Tencent の Xuanwu Lab (www.tencent.com) の xisigr 氏

  • WebKit

    対象 OS:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5、OS X El Capitan v10.11.4

    影響:悪意を持って作成された URL を開くと、重要なユーザ情報が漏洩する可能性がある。

    説明:XSS Auditor がブロックモードで使われる際の URL のリダイレクトに脆弱性が存在していました。この問題は、URL のナビゲーションを改善することで解決されました。

    CVE-ID

    CVE-2016-1864:Mitsui Bussan Secure Directions, Inc. の Takeshi Terada 氏

  • WebKit の履歴

    対象 OS:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5、OS X El Capitan v10.11.4

    影響:悪意を持って作成された Web コンテンツを処理すると、Safari が予期せずクラッシュする可能性がある。

    説明:入力検証を強化し、リソース枯渇の問題に対処しました。

    CVE-ID

    CVE-2016-1784:Trend Micro の Moony Li 氏および Jack Tang 氏、无声信息技术 PKAV Team (PKAV.net) の 李普君氏

  • WebKit ページの読み込み

    対象 OS:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5、OS X El Capitan v10.11.4

    影響:悪意のある Web サイトに、データをクロスオリジンで取得される可能性がある。

    説明:文字エンコーディングにキャッシュ関連の問題がありました。この問題は、リクエストのチェックを追加で行うことで解決されました。

    CVE-ID

    CVE-2016-1785:匿名の研究者

  • WebKit ページの読み込み

    対象 OS:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5、OS X El Capitan v10.11.4

    影響:悪意のある Web サイトにアクセスすると、ユーザインターフェイスを偽装される可能性がある。

    説明:悪意のある Web サイトがリダイレクト応答を悪用し、任意の URL を表示させ、宛先のオリジンのキャッシュ済みコンテンツを読み取れる可能性がありました。この問題は、URL の表示ロジックを改善することで解決されました。

    CVE-ID

    CVE-2016-1786:LINE Corporation の ma.la 氏

Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。

公開日: