Over de beveiligingsinhoud van Safari 9.1

In dit artikel wordt de beveiligingsinhoud van Safari 9.1 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.

Raadpleeg Hoe gebruikt u de Apple Product Security PGP-sleutel voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple-beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

Safari 9.1

• Safari

  Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11.4

  Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot vervalsing van de gebruikersinterface

  Omschrijving: er was een probleem waarbij de tekst van een dialoogvenster ook met de pagina meegeleverde tekst bevatte. Dit probleem is opgelost door deze tekst niet langer op te nemen.

  CVE-ID

  CVE-2009-2197: Alexios Fakos van n.runs AG

• Safari-downloads

  Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11.4

  Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot een denial of service van het systeem.

  Omschrijving: een probleem betreffende ontoereikende invoervalidatie binnen de verwerking van bepaalde bestanden. Dit is opgelost door tijdens het uitpakken van bestanden extra controles uit te voeren.

  CVE-ID

  CVE-2016-1771: Russ Cox

• Top Sites in Safari

  Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11.4

  Impact: een website kan vertrouwelijke gebruikersinformatie volgen

  Omschrijving: binnen de Top Sites-pagina was sprake van een cookie-opslagprobleem. Dit probleem is verholpen door verbeterd statusbeheer.

  CVE-ID

  CVE-2016-1772: WoofWagly

• WebKit

  Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11.4

  Impact: een website kan vertrouwelijke gebruikersinformatie volgen

  Beschrijving: er was een probleem bij de verwerking van URL’s in bijlagen. Dit probleem is verholpen door een verbeterde verwerking van URL’s.

  CVE-ID

  CVE-2016-1781: Devdatta Akhawe van Dropbox, Inc.

• WebKit

  Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11.4

  Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van een willekeurige code

  Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.

  CVE-ID

  CVE-2016-1778: 0x1byte werkend met het Zero Day Initiative van Trend Micro en Yang Zhao van CM Security

  CVE-2016-1783: Mihai Parparita van Google

• WebKit

  Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11.4

  Impact: een schadelijke website kan toegang hebben tot beperkte poorten op arbitraire servers

  Omschrijving: een probleem met de poortomleiding is opgelost middels extra poortvalidatie.

  CVE-ID

  CVE-2016-1782: Muneaki Nishimura (nishimunea) van Recruit Technologies Co.,Ltd.

• WebKit

  Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11.4

  Impact: een bezoek aan een kwaadwillig vervaardigde website kan de huidige locatie van gebruikers openbaar maken

  Beschrijving: er was een probleem met het parseren van geolocatieverzoeken. Dit is opgelost middels verbeterde validatie van het beveiligingsbeginpunt voor geolocatieverzoeken.

  CVE-ID

  CVE-2016-1779: xisigr van Xuanwu Lab van Tencent (www.tencent.com)

• WebKit

  Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11.4

  Impact: het openen van een kwaadwillig vervaardigde URL kan leiden tot het vrijgeven van gevoelige gebruikersinformatie

  Beschrijving: er was een probleem bij URL-doorverwijzing wanneer XSS Auditor werd gebruikt in de blokkeermodus. Dit probleem is verholpen door verbeterde URL-navigatie.

  CVE-ID

  CVE-2016-1864: Takeshi Terada van Mitsui Bussan Secure Directions, Inc.

• Geschiedenis in WebKit

  Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11.4

  Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot een onverwachte crash van Safari

  Beschrijving: er is een bronuitputtingsprobleem aangepakt door verbeterde invoervalidatie.

  CVE-ID

  CVE-2016-1784: Moony Li en Jack Tang van TrendMicro en 李普君 van 无声信息技术PKAV Team (PKAV.net)

• Het laden van pagina’s in WebKit

  Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11.4

  Impact: een kwaadaardige website kan gegevens ‘cross-origin’ exfiltreren

  Omschrijving: er was een cachingprobleem met tekencodering. Dit is opgelost door verzoeken extra te controleren.

  CVE-ID

  CVE-2016-1785: een anonieme onderzoeker

• Het laden van pagina’s in WebKit

  Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 en OS X El Capitan v10.11.4

  Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot vervalsing van de gebruikersinterface

  Omschrijving: omleidingsantwoorden kunnen een kwaadwillig vervaardigde website hebben toegestaan om een arbitraire URL weer te geven en inhoud in de cache van de bestemmingsoorsprong te lezen. Dit probleem is verholpen door een verbeterde logica achter de weergave van URL’s.

  CVE-ID

  CVE-2016-1786: ma.la van LINE Corporation