Acerca del contenido de seguridad de Safari 8.0.8, Safari 7.1.8 y Safari 6.2.8

En este documento se describe el contenido de seguridad de Safari 8.0.8, Safari 7.1.8 y Safari 6.2.8.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener información acerca de la clave de seguridad PGP de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.

Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

Safari 8.0.8, Safari 7.1.8 y Safari 6.2.8

• Aplicación Safari

  Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10.4

  Impacto: Visitar un sitio web creado con fines malintencionados podría provocar la suplantación de la interfaz

  Descripción: Un sitio web creado con fines malintencionados podría abrir otro sitio y pedir al usuario una respuesta sin que el usuario pueda saber de dónde procede el mensaje. El problema se ha solucionado mostrando el origen del mensaje al usuario.

  ID CVE

  CVE-2015-3729: Code Audit Labs de VulnHunt.com

• WebKit

  Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10.4

  Impacto: Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

  Descripción: Había varios problemas de corrupción de memoria en WebKit. Estos problemas se han solucionado mejorando la gestión de la memoria.

  ID CVE

  CVE-2015-3730: Apple

  CVE-2015-3731: Apple

  CVE-2015-3732: Apple

  CVE-2015-3733: Apple

  CVE-2015-3734: Apple

  CVE-2015-3735: Apple

  CVE-2015-3736: Apple

  CVE-2015-3737: Apple

  CVE-2015-3738: Apple

  CVE-2015-3739: Apple

  CVE-2015-3740: Apple

  CVE-2015-3741: Apple

  CVE-2015-3742: Apple

  CVE-2015-3743: Apple

  CVE-2015-3744: Apple

  CVE-2015-3745: Apple

  CVE-2015-3746: Apple

  CVE-2015-3747: Apple

  CVE-2015-3748: Apple

  CVE-2015-3749: Apple

• WebKit

  Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10.4

  Impacto: Un sitio web creado con fines malintencionados podría activar solicitudes de texto sin formato a un origen bajo seguridad de transporte HTTP estricta

  Descripción: Había un problema que hacía que la política de seguridad de contenido informara de solicitudes que no cumplen la seguridad de transporte HTTP estricta. Este problema se ha solucionado mejorando el cumplimiento de la seguridad de transporte HTTP estricta.

  ID CVE

  CVE-2015-3750: Muneaki Nishimura (nishimunea)

• WebKit

  Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10.4

  Impacto: La carga de una imagen podría infringir la directiva de política de seguridad de contenido de un sitio web

  Descripción: Había un problema que hacía que los sitios web con controles de vídeo cargaran las imágenes anidadas en elementos del objeto infringiendo la directiva de política de seguridad de contenido del sitio web. Este problema se ha solucionado mejorando la aplicación de la política de seguridad de contenido.

  ID CVE

  CVE-2015-3751: Muneaki Nishimura (nishimunea)

• WebKit

  Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10.4

  Impacto: Las solicitudes de informe de política de seguridad de contenido podrían dejar pasar las cookies

  Descripción: Había dos problemas en cómo las cookies se añadían a las solicitudes de informe de política de seguridad de contenido. Las cookies se enviaron en solicitudes de informe de origen cruzado infringiendo el estándar. Las cookies definidas durante la exploración normal se enviaron en navegación privada. Estos problemas se han solucionado mejorando la gestión de las cookies.

  ID CVE

  CVE-2015-3752: Muneaki Nishimura (nishimunea)

• WebKit Canvas

  Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10.4

  Impacto: Un sitio web creado con fines malintencionados podría ocasionar el filtrado de los datos de imagen en orígenes cruzados

  Descripción: Las imágenes obtenidas a través de las URL que redirigen a un recurso data:image podrían haberse filtrado en orígenes cruzados. Este problema se ha solucionado mejorando el seguimiento de la corrupción del lienzo.

  ID CVE

  CVE-2015-3753: Antonio Sanso y Damien Antipa de Adobe

• Carga de páginas de WebKit

  Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10.4

  Impacto: El estado de autenticación en caché podría revelar el historial de navegación privada

  Descripción: Había un problema en el almacenamiento en caché de la autenticación HTTP. Las credenciales introducidas en el modo de navegación privada se guardaron en la navegación normal, lo que podría revelar partes del historial de navegación privada. Este problema se ha solucionado mejorando las restricciones de almacenamiento en caché.

  ID CVE

  CVE-2015-3754: Dongsung Kim (@kid1ng)

• Modelo de procesos WebKit

  Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10.4

  Impacto: Visitar un sitio web creado con fines malintencionados podría provocar la suplantación de la interfaz

  Descripción: Navegar con una URL incorrectamente formada podría permitir que un sitio web creado con fines malintencionados mostrara una URL arbitraria. Este problema se ha solucionado mejorando la gestión de las URL.

  ID CVE

  CVE-2015-3755: xisigr de Tencent's Xuanwu Lab