Om sikkerhetsinnholdet i Safari 8.0.8, Safari 7.1.8 og Safari 6.2.8

Dette dokumentet beskriver sikkerhetsinnholdet i Safari 8.0.8, Safari 7.1.8 og Safari 6.2.8.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen for Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen for Apple Produktsikkerhet.

Der det er mulig brukes CVE-IDer som referanse til sårbarheter for ytterligere informasjon.

Hvis du vil lese mer om andre sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.

Safari 8.0.8, Safari 7.1.8 og Safari 6.2.8

• Safari-program

  Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 og OS X Yosemite v10.10.4

  Virkning: Besøk på et skadelig nettsted kan føre til grensesnittsvindel

  Beskrivelse: Et skadelig nettsted kunne åpne et annet nettsted og be om inndata fra bruker uten at brukeren kunne se hvor meldingen kom fra. Problemet ble løst ved å vise brukeren opphavet til meldingen.

  CVE-ID

  CVE-2015-3729 : Code Audit Labs ved VulnHunt.com

• WebKit

  Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 og OS X Yosemite v10.10.4

  Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

  Beskrivelse: Det er flere problemer med ødelagt hukommelse i WebKit. Disse problemene ble løst gjennom forbedret hukommelseshåndtering.

  CVE-ID

  CVE-2015-3730 : Apple

  CVE-2015-3731 : Apple

  CVE-2015-3732 : Apple

  CVE-2015-3733 : Apple

  CVE-2015-3734 : Apple

  CVE-2015-3735 : Apple

  CVE-2015-3736 : Apple

  CVE-2015-3737 : Apple

  CVE-2015-3738 : Apple

  CVE-2015-3739 : Apple

  CVE-2015-3740 : Apple

  CVE-2015-3741 : Apple

  CVE-2015-3742 : Apple

  CVE-2015-3743 : Apple

  CVE-2015-3744 : Apple

  CVE-2015-3745 : Apple

  CVE-2015-3746 : Apple

  CVE-2015-3747 : Apple

  CVE-2015-3748 : Apple

  CVE-2015-3749 : Apple

• WebKit

  Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 og OS X Yosemite v10.10.4

  Virkning: Et skadelig nettsted kan utløse plaintext-forespørsler til et opphav under HTTP Strict Transport Security

  Beskrivelse: Det var et problem der Content Security Policy-rapportforespørsler ikke ville overholde HTTP Strict Transport Security. Dette problemet ble løst gjennom forbedret håndheving av HTTP Strict Transport Security.

  CVE-ID

  CVE-2015-3750 : Muneaki Nishimura (nishimunea)

• WebKit

  Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 og OS X Yosemite v10.10.4

  Virkning: Lasting av bilder kan svære i strid med Content Security Policy-direktivet for et nettsted

  Beskrivelse: Det var et problem der nettsteder med videokontroller ville laste bilder som var nestet i objektelementer, i strid med nettstedets Content Security Policy-direktiv. Dette problemet ble løst gjennom forbedret håndhevelse av Content Security Policy.

  CVE-ID

  CVE-2015-3751 : Muneaki Nishimura (nishimunea)

• WebKit

  Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 og OS X Yosemite v10.10.4

  Virkning: Content Security Policy-rapportforespørsler kan lekke informasjonskapsler

  Beskrivelse: Det var to problemer med måten informasjonskapsler ble lagt til Content Security Policy-rapportforespørsler. Informasjonskapsler ble sendt i rapportforespørsler på tvers av opphav, i strid med standarden. Informasjonskapsler som var fastsatt under vanlig nettlesing, ble sendt i privat nettlesing. Disse problemene ble løst gjennom forbedret håndtering av informasjonskapsler.

  CVE-ID

  CVE-2015-3752 : Muneaki Nishimura (nishimunea)

• WebKit Canvas

  Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 og OS X Yosemite v10.10.4

  Virkning: Et skadelig nettsted kan eksfiltrere bildedata på tvers av opphav

  Beskrivelse: Bilder som er hentet gjennom URL-er som omdirigerte til en data:image-ressurs, kunne ha blitt eksfiltrert på tvers av opphav. Dette problemet ble løst ved forbedret sporing av lerretsfeil.

  CVE-ID

  CVE-2015-3753 : Antonio Sanso og Damien Antipa fra Adobe

• Lasting av WebKit-sider

  Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 og OS X Yosemite v10.10.4

  Virkning: Bufret godkjenningstilstand kan fremlegge privat nettleserhistorikk

  Beskrivelse: Det var et problem med bufring av HTTP-godkjenning. Legitimasjon som ble angitt i modus for privat nettlesing, ble ført over til vanlig nettlesing, noe som ville avsløre deler av brukerens private nettleserhistorikk. Dette problemet ble løst ved forbedrede bufferrestriksjoner.

  CVE-ID

  CVE-2015-3754 : Dongsung Kim (@kid1ng)

• WebKit-behandlingsmodell

  Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 og OS X Yosemite v10.10.4

  Virkning: Besøk på et skadelig nettsted kan føre til grensesnittsvindel

  Beskrivelse: Navigering til en feilformet URL kan ha tillatt at et skadelig nettsted viser en vilkårlig URL. Problemet ble løst med forbedret URL-håndtering.

  CVE-ID

  CVE-2015-3755 : xisigr fra Tencents Xuanwu Lab