Om sikkerhetsinnholdet i Safari 8.0.8, Safari 7.1.8 og Safari 6.2.8

Dette dokumentet beskriver sikkerhetsinnholdet i Safari 8.0.8, Safari 7.1.8 og Safari 6.2.8.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen for Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen for Apple Produktsikkerhet.

Der det er mulig brukes CVE-IDer som referanse til sårbarheter for ytterligere informasjon.

Hvis du vil lese mer om andre sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.

Safari 8.0.8, Safari 7.1.8 og Safari 6.2.8

  • Safari-program

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 og OS X Yosemite v10.10.4

    Virkning: Besøk på et skadelig nettsted kan føre til grensesnittsvindel

    Beskrivelse: Et skadelig nettsted kunne åpne et annet nettsted og be om inndata fra bruker uten at brukeren kunne se hvor meldingen kom fra. Problemet ble løst ved å vise brukeren opphavet til meldingen.

    CVE-ID

    CVE-2015-3729 : Code Audit Labs ved VulnHunt.com

  • WebKit

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 og OS X Yosemite v10.10.4

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det er flere problemer med ødelagt hukommelse i WebKit. Disse problemene ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-3730 : Apple

    CVE-2015-3731 : Apple

    CVE-2015-3732 : Apple

    CVE-2015-3733 : Apple

    CVE-2015-3734 : Apple

    CVE-2015-3735 : Apple

    CVE-2015-3736 : Apple

    CVE-2015-3737 : Apple

    CVE-2015-3738 : Apple

    CVE-2015-3739 : Apple

    CVE-2015-3740 : Apple

    CVE-2015-3741 : Apple

    CVE-2015-3742 : Apple

    CVE-2015-3743 : Apple

    CVE-2015-3744 : Apple

    CVE-2015-3745 : Apple

    CVE-2015-3746 : Apple

    CVE-2015-3747 : Apple

    CVE-2015-3748 : Apple

    CVE-2015-3749 : Apple

  • WebKit

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 og OS X Yosemite v10.10.4

    Virkning: Et skadelig nettsted kan utløse plaintext-forespørsler til et opphav under HTTP Strict Transport Security

    Beskrivelse: Det var et problem der Content Security Policy-rapportforespørsler ikke ville overholde HTTP Strict Transport Security. Dette problemet ble løst gjennom forbedret håndheving av HTTP Strict Transport Security.

    CVE-ID

    CVE-2015-3750 : Muneaki Nishimura (nishimunea)

  • WebKit

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 og OS X Yosemite v10.10.4

    Virkning: Lasting av bilder kan svære i strid med Content Security Policy-direktivet for et nettsted

    Beskrivelse: Det var et problem der nettsteder med videokontroller ville laste bilder som var nestet i objektelementer, i strid med nettstedets Content Security Policy-direktiv. Dette problemet ble løst gjennom forbedret håndhevelse av Content Security Policy.

    CVE-ID

    CVE-2015-3751 : Muneaki Nishimura (nishimunea)

  • WebKit

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 og OS X Yosemite v10.10.4

    Virkning: Content Security Policy-rapportforespørsler kan lekke informasjonskapsler

    Beskrivelse: Det var to problemer med måten informasjonskapsler ble lagt til Content Security Policy-rapportforespørsler. Informasjonskapsler ble sendt i rapportforespørsler på tvers av opphav, i strid med standarden. Informasjonskapsler som var fastsatt under vanlig nettlesing, ble sendt i privat nettlesing. Disse problemene ble løst gjennom forbedret håndtering av informasjonskapsler.

    CVE-ID

    CVE-2015-3752 : Muneaki Nishimura (nishimunea)

  • WebKit Canvas

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 og OS X Yosemite v10.10.4

    Virkning: Et skadelig nettsted kan eksfiltrere bildedata på tvers av opphav

    Beskrivelse: Bilder som er hentet gjennom URL-er som omdirigerte til en data:image-ressurs, kunne ha blitt eksfiltrert på tvers av opphav. Dette problemet ble løst ved forbedret sporing av lerretsfeil.

    CVE-ID

    CVE-2015-3753 : Antonio Sanso og Damien Antipa fra Adobe

  • Lasting av WebKit-sider

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 og OS X Yosemite v10.10.4

    Virkning: Bufret godkjenningstilstand kan fremlegge privat nettleserhistorikk

    Beskrivelse: Det var et problem med bufring av HTTP-godkjenning. Legitimasjon som ble angitt i modus for privat nettlesing, ble ført over til vanlig nettlesing, noe som ville avsløre deler av brukerens private nettleserhistorikk. Dette problemet ble løst ved forbedrede bufferrestriksjoner.

    CVE-ID

    CVE-2015-3754 : Dongsung Kim (@kid1ng)

  • WebKit-behandlingsmodell

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 og OS X Yosemite v10.10.4

    Virkning: Besøk på et skadelig nettsted kan føre til grensesnittsvindel

    Beskrivelse: Navigering til en feilformet URL kan ha tillatt at et skadelig nettsted viser en vilkårlig URL. Problemet ble løst med forbedret URL-håndtering.

    CVE-ID

    CVE-2015-3755 : xisigr fra Tencents Xuanwu Lab

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: