Over de beveiligingsinhoud van Safari 9.1
In dit artikel wordt de beveiligingsinhoud van Safari 9.1 beschreven.
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.
Raadpleeg Hoe gebruikt u de Apple Product Security PGP-sleutel voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Raadpleeg Apple-beveiligingsupdates voor meer informatie over andere beveiligingsupdates.
Safari 9.1
Safari
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11.4
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot vervalsing van de gebruikersinterface
Omschrijving: er was een probleem waarbij de tekst van een dialoogvenster ook met de pagina meegeleverde tekst bevatte. Dit probleem is opgelost door deze tekst niet langer op te nemen.
CVE-ID
CVE-2009-2197: Alexios Fakos van n.runs AG
Safari-downloads
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11.4
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot een denial of service van het systeem.
Omschrijving: een probleem betreffende ontoereikende invoervalidatie binnen de verwerking van bepaalde bestanden. Dit is opgelost door tijdens het uitpakken van bestanden extra controles uit te voeren.
CVE-ID
CVE-2016-1771: Russ Cox
Top Sites in Safari
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11.4
Impact: een website kan vertrouwelijke gebruikersinformatie volgen
Omschrijving: binnen de Top Sites-pagina was sprake van een cookie-opslagprobleem. Dit probleem is verholpen door verbeterd statusbeheer.
CVE-ID
CVE-2016-1772: WoofWagly
WebKit
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11.4
Impact: een website kan vertrouwelijke gebruikersinformatie volgen
Beschrijving: er was een probleem bij de verwerking van URL’s in bijlagen. Dit probleem is verholpen door een verbeterde verwerking van URL’s.
CVE-ID
CVE-2016-1781: Devdatta Akhawe van Dropbox, Inc.
WebKit
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11.4
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van een willekeurige code
Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2016-1778: 0x1byte werkend met het Zero Day Initiative van Trend Micro en Yang Zhao van CM Security
CVE-2016-1783: Mihai Parparita van Google
WebKit
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11.4
Impact: een schadelijke website kan toegang hebben tot beperkte poorten op arbitraire servers
Omschrijving: een probleem met de poortomleiding is opgelost middels extra poortvalidatie.
CVE-ID
CVE-2016-1782: Muneaki Nishimura (nishimunea) van Recruit Technologies Co.,Ltd.
WebKit
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11.4
Impact: een bezoek aan een kwaadwillig vervaardigde website kan de huidige locatie van gebruikers openbaar maken
Beschrijving: er was een probleem met het parseren van geolocatieverzoeken. Dit is opgelost middels verbeterde validatie van het beveiligingsbeginpunt voor geolocatieverzoeken.
CVE-ID
CVE-2016-1779: xisigr van Xuanwu Lab van Tencent (www.tencent.com)
WebKit
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11.4
Impact: het openen van een kwaadwillig vervaardigde URL kan leiden tot het vrijgeven van gevoelige gebruikersinformatie
Beschrijving: er was een probleem bij URL-doorverwijzing wanneer XSS Auditor werd gebruikt in de blokkeermodus. Dit probleem is verholpen door verbeterde URL-navigatie.
CVE-ID
CVE-2016-1864: Takeshi Terada van Mitsui Bussan Secure Directions, Inc.
Geschiedenis in WebKit
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11.4
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot een onverwachte crash van Safari
Beschrijving: er is een bronuitputtingsprobleem aangepakt door verbeterde invoervalidatie.
CVE-ID
CVE-2016-1784: Moony Li en Jack Tang van TrendMicro en 李普君 van 无声信息技术PKAV Team (PKAV.net)
Het laden van pagina’s in WebKit
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11.4
Impact: een kwaadaardige website kan gegevens ‘cross-origin’ exfiltreren
Omschrijving: er was een cachingprobleem met tekencodering. Dit is opgelost door verzoeken extra te controleren.
CVE-ID
CVE-2016-1785: een anonieme onderzoeker
Het laden van pagina’s in WebKit
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11.4
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot vervalsing van de gebruikersinterface
Omschrijving: omleidingsantwoorden kunnen een kwaadwillig vervaardigde website hebben toegestaan om een arbitraire URL weer te geven en inhoud in de cache van de bestemmingsoorsprong te lezen. Dit probleem is verholpen door een verbeterde logica achter de weergave van URL’s.
CVE-ID
CVE-2016-1786: ma.la van LINE Corporation
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.