Over de beveiligingsinhoud van Safari 9
In dit document wordt de beveiligingsinhoud van Safari 9 beschreven.
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.
Raadpleeg Hoe gebruikt u de Apple Product Security PGP-sleutel voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Raadpleeg Apple-beveiligingsupdates voor meer informatie over andere beveiligingsupdates.
Safari 9
Safari
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot vervalsing van de gebruikersinterface
Beschrijving: meerdere inconsistenties in de gebruikersinterface konden ervoor zorgen dat een kwaadwillig vervaardigde website een willekeurige URL weergaf. Deze problemen zijn verholpen door een verbeterde programmering van de URL-weergave.
CVE-ID
CVE-2015-5764: Antonio Sanso (@asanso) van Adobe
CVE-2015-5765: Ron Masas
CVE-2015-5767: Krystian Kloskowski via Secunia, Masato Kinugawa
Safari-downloads
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11
Impact: de quarantainegeschiedenis van LaunchServices onthult mogelijk de browsegeschiedenis
Beschrijving: de toegang tot de quarantainegeschiedenis van LaunchServices onthulde mogelijk de browsegeschiedenis op basis van bestandsdownloads. Dit probleem is verholpen door een verbeterde verwijdering van de quarantainegeschiedenis.
Safari-extensies
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11
Impact: de lokale communicatie tussen Safari-extensies en bijbehorende apps is mogelijk aangetast
Beschrijving: de lokale communicatie tussen Safari-extensies zoals wachtwoordbeheerders en de bijbehorende apps was mogelijk aangetast door een andere ingebouwde app. Dit probleem is verholpen door middel van een nieuw, gecontroleerd communicatiekanaal tussen Safari-extensies en bijbehorende apps.
Safari-extensies
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11
Impact: Safari-extensies kunnen op een schijf worden vervangen
Beschrijving: een gevalideerde, door de gebruiker geïnstalleerde Safari-extensie kon op een schijf worden vervangen zonder dit aan de gebruiker te vragen. Dit probleem is verholpen door een verbeterde validatie van extensies.
CVE-ID
CVE-2015-5780: Ben Toms van macmule.com
Privémodus in Safari
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11
Impact: navigeren naar het IP-adres van een bekende kwaadaardige website activeert mogelijk geen beveiligingswaarschuwing
Beschrijving: de functie voor veilig browsen van Safari waarschuwde gebruikers niet wanneer ze IP-adressen van bekende kwaadaardige websites bezochten. Het probleem is verholpen door een verbeterde detectie van kwaadaardige sites.
Rahul M (@rahulmfg) van TagsDock
WebKit
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11
Impact: deels geladen afbeeldingen kunnen gegevens tussen oorsprongen exfiltreren
Beschrijving: er was een raceconditie bij de validatie van de oorsprongen van afbeeldingen. Dit probleem is verholpen door een verbeterde validatie van bronoorsprongen.
CVE-ID
CVE-2015-5788: Apple
WebKit
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met geheugenbeschadiging in WebKit. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5789: Apple
CVE-2015-5790: Apple
CVE-2015-5791: Apple
CVE-2015-5792: Apple
CVE-2015-5793: Apple
CVE-2015-5794: Apple
CVE-2015-5795: Apple
CVE-2015-5796: Apple
CVE-2015-5797: Apple
CVE-2015-5798: Apple
CVE-2015-5799: Apple
CVE-2015-5800: Apple
CVE-2015-5801: Apple
CVE-2015-5802: Apple
CVE-2015-5803: Apple
CVE-2015-5804: Apple
CVE-2015-5805
CVE-2015-5806: Apple
CVE-2015-5807: Apple
CVE-2015-5808: Joe Vennix
CVE-2015-5809: Apple
CVE-2015-5810: Apple
CVE-2015-5811: Apple
CVE-2015-5812: Apple
CVE-2015-5813: Apple
CVE-2015-5814: Apple
CVE-2015-5815: Apple
CVE-2015-5816: Apple
CVE-2015-5817: Apple
CVE-2015-5818: Apple
CVE-2015-5819: Apple
CVE-2015-5821: Apple
CVE-2015-5822: Mark S. Miller van Google
CVE-2015-5823: Apple
WebKit
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11
Impact: een aanvaller kan onbedoelde cookies voor een website aanmaken
Beschrijving: WebKit aanvaardde dat meerdere cookies werden ingesteld in de API document.cookie. Dit probleem is verholpen door een verbeterde parsering.
CVE-ID
CVE-2015-3801: Erling Ellingsen van Facebook
WebKit
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11
Impact: de API Performance staat een kwaadaardige website mogelijk toe om de browsegeschiedenis, netwerkactiviteit en muisbewegingen vrij te geven
Beschrijving: de API Performance van WebKit kon een kwaadaardige website mogelijk toestaan om de browsegeschiedenis, netwerkactiviteit en muisbewegingen vrij te geven door de tijd te meten. Dit probleem is verholpen door de tijdresolutie te beperken.
CVE-ID
CVE-2015-5825: Yossi Oren et al. van Columbia University’s Network Security Lab
WebKit
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot onbedoeld bellen
Beschrijving: er was een probleem met de verwerking van tel://-, facetime://- en facetime-audio://-URL’s. Dit probleem is verholpen door een verbeterde verwerking van URL’s.
CVE-ID
CVE-2015-5820: Guillaume Ross, Andrei Neculaesei
WebKit CSS
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11
Impact: een kwaadaardige website kan gegevens ‘cross-origin’ exfiltreren
Beschrijving: Safari stond toe dat ‘cross-origin’ stijlbladen werden geladen met niet-CSS MIME-typen die konden worden gebruikt voor het ‘cross-origin’ exfiltreren van gegevens. Dit probleem is verholpen door MIME-typen voor ‘cross-origin’ stijlbladen te beperken.
CVE-ID
CVE-2015-5826: filedescriptior, Chris Evans
WebKit JavaScript Bindings
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11
Impact: objectverwijzingen zijn mogelijk uitgelekt tussen afgescheiden oorsprongen bij aangepaste activiteiten, berichtactiviteiten en popstatusactiviteiten
Beschrijving: een probleem met het uitlekken van objecten verbrak de afscheidingsgrens tussen oorsprongen. Dit probleem is verholpen door een verbeterde afscheiding tussen oorsprongen.
CVE-ID
CVE-2015-5827: Gildas
Het laden van pagina’s in WebKit
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11
Impact: WebSockets kan handhaving van het beleid voor gemengde inhoud omzeilen
Beschrijving: een probleem met een niet goed gehandhaafd beleid stond toe dat WebSockets gemengde inhoud laadde. Dit probleem is verholpen door de handhaving van het beleid voor gemengde inhoud aan WebSockets uit te breiden.
Kevin G. Jones van Higher Logic
WebKit Plug-ins
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11
Impact: Safari-plugins kunnen een HTTP-aanvraag versturen zonder te weten dat de aanvraag is doorverwezen
Beschrijving: de API van Safari-plugins communiceerde niet aan plugins dat een doorverwijzing door de server had plaatsgevonden. Dit kon leiden tot onbevoegde aanvragen. Dit probleem is verholpen door middel van een verbeterde API-support.
CVE-ID
CVE-2015-5828: Lorenzo Fontana
FaceTime is niet in alle landen of regio’s beschikbaar.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.