Over de beveiligingsinhoud van Safari 9

In dit document wordt de beveiligingsinhoud van Safari 9 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.

Raadpleeg Hoe gebruikt u de Apple Product Security PGP-sleutel voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple-beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

Safari 9

  • Safari

    Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot vervalsing van de gebruikersinterface

    Beschrijving: meerdere inconsistenties in de gebruikersinterface konden ervoor zorgen dat een kwaadwillig vervaardigde website een willekeurige URL weergaf. Deze problemen zijn verholpen door een verbeterde programmering van de URL-weergave.

    CVE-ID

    CVE-2015-5764: Antonio Sanso (@asanso) van Adobe

    CVE-2015-5765: Ron Masas

    CVE-2015-5767: Krystian Kloskowski via Secunia, Masato Kinugawa

  • Safari-downloads

    Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11

    Impact: de quarantainegeschiedenis van LaunchServices onthult mogelijk de browsegeschiedenis

    Beschrijving: de toegang tot de quarantainegeschiedenis van LaunchServices onthulde mogelijk de browsegeschiedenis op basis van bestandsdownloads. Dit probleem is verholpen door een verbeterde verwijdering van de quarantainegeschiedenis.

  • Safari-extensies

    Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11

    Impact: de lokale communicatie tussen Safari-extensies en bijbehorende apps is mogelijk aangetast

    Beschrijving: de lokale communicatie tussen Safari-extensies zoals wachtwoordbeheerders en de bijbehorende apps was mogelijk aangetast door een andere ingebouwde app. Dit probleem is verholpen door middel van een nieuw, gecontroleerd communicatiekanaal tussen Safari-extensies en bijbehorende apps.

  • Safari-extensies

    Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11

    Impact: Safari-extensies kunnen op een schijf worden vervangen

    Beschrijving: een gevalideerde, door de gebruiker geïnstalleerde Safari-extensie kon op een schijf worden vervangen zonder dit aan de gebruiker te vragen. Dit probleem is verholpen door een verbeterde validatie van extensies.

    CVE-ID

    CVE-2015-5780: Ben Toms van macmule.com

  • Privémodus in Safari

    Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11

    Impact: navigeren naar het IP-adres van een bekende kwaadaardige website activeert mogelijk geen beveiligingswaarschuwing

    Beschrijving: de functie voor veilig browsen van Safari waarschuwde gebruikers niet wanneer ze IP-adressen van bekende kwaadaardige websites bezochten. Het probleem is verholpen door een verbeterde detectie van kwaadaardige sites.

    Rahul M (@rahulmfg) van TagsDock

  • WebKit

    Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11

    Impact: deels geladen afbeeldingen kunnen gegevens tussen oorsprongen exfiltreren

    Beschrijving: er was een raceconditie bij de validatie van de oorsprongen van afbeeldingen. Dit probleem is verholpen door een verbeterde validatie van bronoorsprongen.

    CVE-ID

    CVE-2015-5788: Apple

  • WebKit

    Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging in WebKit. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5789: Apple

    CVE-2015-5790: Apple

    CVE-2015-5791: Apple

    CVE-2015-5792: Apple

    CVE-2015-5793: Apple

    CVE-2015-5794: Apple

    CVE-2015-5795: Apple

    CVE-2015-5796: Apple

    CVE-2015-5797: Apple

    CVE-2015-5798: Apple

    CVE-2015-5799: Apple

    CVE-2015-5800: Apple

    CVE-2015-5801: Apple

    CVE-2015-5802: Apple

    CVE-2015-5803: Apple

    CVE-2015-5804: Apple

    CVE-2015-5805

    CVE-2015-5806: Apple

    CVE-2015-5807: Apple

    CVE-2015-5808: Joe Vennix

    CVE-2015-5809: Apple

    CVE-2015-5810: Apple

    CVE-2015-5811: Apple

    CVE-2015-5812: Apple

    CVE-2015-5813: Apple

    CVE-2015-5814: Apple

    CVE-2015-5815: Apple

    CVE-2015-5816: Apple

    CVE-2015-5817: Apple

    CVE-2015-5818: Apple

    CVE-2015-5819: Apple

    CVE-2015-5821: Apple

    CVE-2015-5822: Mark S. Miller van Google

    CVE-2015-5823: Apple

  • WebKit

    Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11

    Impact: een aanvaller kan onbedoelde cookies voor een website aanmaken

    Beschrijving: WebKit aanvaardde dat meerdere cookies werden ingesteld in de API document.cookie. Dit probleem is verholpen door een verbeterde parsering.

    CVE-ID

    CVE-2015-3801: Erling Ellingsen van Facebook

  • WebKit

    Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11

    Impact: de API Performance staat een kwaadaardige website mogelijk toe om de browsegeschiedenis, netwerkactiviteit en muisbewegingen vrij te geven

    Beschrijving: de API Performance van WebKit kon een kwaadaardige website mogelijk toestaan om de browsegeschiedenis, netwerkactiviteit en muisbewegingen vrij te geven door de tijd te meten. Dit probleem is verholpen door de tijdresolutie te beperken.

    CVE-ID

    CVE-2015-5825: Yossi Oren et al. van Columbia University’s Network Security Lab

  • WebKit

    Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot onbedoeld bellen

    Beschrijving: er was een probleem met de verwerking van tel://-, facetime://- en facetime-audio://-URL’s. Dit probleem is verholpen door een verbeterde verwerking van URL’s.

    CVE-ID

    CVE-2015-5820: Guillaume Ross, Andrei Neculaesei

  • WebKit CSS

    Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11

    Impact: een kwaadaardige website kan gegevens ‘cross-origin’ exfiltreren

    Beschrijving: Safari stond toe dat ‘cross-origin’ stijlbladen werden geladen met niet-CSS MIME-typen die konden worden gebruikt voor het ‘cross-origin’ exfiltreren van gegevens. Dit probleem is verholpen door MIME-typen voor ‘cross-origin’ stijlbladen te beperken.

    CVE-ID

    CVE-2015-5826: filedescriptior, Chris Evans

  • WebKit JavaScript Bindings

    Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11

    Impact: objectverwijzingen zijn mogelijk uitgelekt tussen afgescheiden oorsprongen bij aangepaste activiteiten, berichtactiviteiten en popstatusactiviteiten

    Beschrijving: een probleem met het uitlekken van objecten verbrak de afscheidingsgrens tussen oorsprongen. Dit probleem is verholpen door een verbeterde afscheiding tussen oorsprongen.

    CVE-ID

    CVE-2015-5827: Gildas

  • Het laden van pagina’s in WebKit

    Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11

    Impact: WebSockets kan handhaving van het beleid voor gemengde inhoud omzeilen

    Beschrijving: een probleem met een niet goed gehandhaafd beleid stond toe dat WebSockets gemengde inhoud laadde. Dit probleem is verholpen door de handhaving van het beleid voor gemengde inhoud aan WebSockets uit te breiden.

    Kevin G. Jones van Higher Logic

  • WebKit Plug-ins

    Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11

    Impact: Safari-plugins kunnen een HTTP-aanvraag versturen zonder te weten dat de aanvraag is doorverwezen

    Beschrijving: de API van Safari-plugins communiceerde niet aan plugins dat een doorverwijzing door de server had plaatsgevonden. Dit kon leiden tot onbevoegde aanvragen. Dit probleem is verholpen door middel van een verbeterde API-support.

    CVE-ID

    CVE-2015-5828: Lorenzo Fontana

FaceTime is niet in alle landen of regio’s beschikbaar.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Aan het gebruik van internet zijn risico’s verbonden. Neem contact op met de leverancier voor meer informatie. Andere bedrijfs- en productnamen zijn mogelijk handelsmerken van de respectievelijke eigenaars.

Publicatiedatum: