Acerca del contenido de seguridad de Safari 8.0.5, Safari 7.1.5 y Safari 6.2.5

Este documento describe el contenido de seguridad de Safari 8.0.5, Safari 7.1.5 y Safari 6.2.5.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.

Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

Safari 8.0.5, Safari 7.1.5 y Safari 6.2.5

• Safari

  Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10.2

  Impacto: Los sitios web maliciosos podrían realizar el seguimiento de los usuarios utilizando certificados de cliente

  Descripción: Existía un problema en la comparación de los certificados de cliente de Safari para la autenticación SSL. Este problema se ha solucionado mejorando la comparación de certificados de cliente válidos.

  ID CVE

  CVE-2015-1129: Stefan Kraus de fluid Operations AG, Sylvain Munaut de Whatever s.a.

• Safari

  Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10.2

  Impacto: Las preferencias de notificaciones podrían revelar el historial de navegación del usuario aunque este se encuentre en modo de navegación privada

  Descripción: Al responder a las solicitudes de las notificaciones push en el modo de navegación privada se revelaba el historial de navegación del usuario. Este problema se ha solucionado desactivando los mensajes de notificaciones push en el modo de navegación privada.

  ID CVE

  CVE-2015-1128: Joseph Winn de Credit Union Geek

• Safari

  Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10.2

  Impacto: Puede que el historial de navegación del usuario no se purgue por completo

  Descripción: Existía un problema de gestión de estado en Safari que hacía que el historial de navegación del usuario no se purgara de history.plist. Este problema se ha solucionado mejorando la gestión del estado.

  ID CVE

  CVE-2015-1112 : William Breuer, Países Bajos

• WebKit

  Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10.2

  Impacto: Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

  Descripción: Existían varios problemas de corrupción de memoria en WebKit. Estos problemas se han solucionado mejorando la gestión de la memoria.

  ID CVE

  CVE-2015-1119: Renata Hodovan de la Universidad de Szeged/Samsung Electronics

  CVE-2015-1120: Apple

  CVE-2015-1121: Apple

  CVE-2015-1122: Apple

  CVE-2015-1124: Apple

• WebKit

  Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10.2

  Impacto: El historial de navegación del usuario en modo privado podría estar indexado

  Descripción: Existía un problema de gestión de estado en Safari que indexaba el historial de navegación del usuario de forma accidental cuando este se encontraba en el modo de navegación privada. Este problema se ha solucionado mejorando la gestión del estado.

  ID CVE

  CVE-2015-1127: Tyler C

• WebKit

  Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10.2

  Impacto: Visitar un sitio web malicioso podría provocar el acceso a los recursos de otro origen

  Descripción: Existía un problema en el manejo de las credenciales de WebKit para las URL FTP. Este problema se ha solucionado mejorando la decodificación de las URL.

  ID CVE

  CVE-2015-1126: Jouko Pynnonen de Klikki Oy