Om sikkerhetsinnholdet i Safari 9

Dette dokumentet beskriver sikkerhetsinnholdet i Safari 9.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen for Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen for Apple Produktsikkerhet.

Der det er mulig brukes CVE-IDer som referanse til sårbarheter for ytterligere informasjon.

Hvis du vil lese mer om andre sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.

Safari 9

  • Safari

    Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

    Virkning: Besøk på et skadelig nettsted kan føre til grensesnittsvindel

    Beskrivelse: Flere uoverensstemmelser i brukergrensesnittet kan ha gjort det mulig for et skadelig nettsted å vise en vilkårlig URL. Problemene ble løst gjennom forbedret URL-visningslogikk.

    CVE-ID

    CVE-2015-5764: Antonio Sanso (@asanso) i Adobe

    CVE-2015-5765: Ron Masas

    CVE-2015-5767: Krystian Kloskowski via Secunia, Masato Kinugawa

  • Safari-nedlastinger

    Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

    Virkning: LaunchServices' karantenehistorikk kan avsløre nettleserhistorikk

    Beskrivelse: Tilgang til LaunchServices' karantenehistorikk kan ha avslørt nettleserhistorikk basert på filnedlastinger. Dette problemet ble løst gjennom forbedret sletting av karantenehistorikk.

  • Safari-tillegg

    Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

    Virkning: Lokal kommunikasjon mellom Safari-tillegg og ledsagerapper kan bli kompromittert

    Beskrivelse: Den lokale kommunikasjonen mellom Safari-tillegg som passordbehandlere og deres innebygde ledsagerapper kunne bli kompromittert av en annen innebygd app. Dette problemet ble løst gjennom en ny, godkjent kommunikasjonskanal mellom Safari-tillegg og ledsagerapper.

  • Safari-tillegg

    Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

    Virkning: Safari-tillegg kan bli erstattet på disk

    Beskrivelse: Et validert, brukerinstallert Safari-tillegg kunne bli erstattet på disk uten melding til brukeren. Dette problemet ble løst ved forbedret validering av tillegg.

    CVE-ID

    CVE-2015-5780 : Ben Toms fra macmule.com

  • Trygg Safari-nettlesing

    Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

    Virkning: Navigering til IP-adressen til et kjent skadelig nettsted vil kanskje ikke utløse noen sikkerhetsadvarsel

    Beskrivelse: Safari-funksjonen for trygg nettlesing advarte ikke brukere ved besøk på kjente skadelige nettsteder via IP-adressen. Problemet ble løst gjennom forbedret oppdagelse av skadelige nettsteder.

    Rahul M (@rahulmfg) fra TagsDock

  • WebKit

    Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

    Virkning: Delvis lastede bilder kan eksfiltrere data på tvers av opphav

    Beskrivelse: Det vare en race-tilstand i validering av bildeopphav. Dette problemet ble løst ved forbedret validering av ressursopphav.

    CVE-ID

    CVE-2015-5788: Apple

  • WebKit

    Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det er flere problemer med ødelagt hukommelse i WebKit. Disse problemene ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-5789: Apple

    CVE-2015-5790: Apple

    CVE-2015-5791: Apple

    CVE-2015-5792: Apple

    CVE-2015-5793: Apple

    CVE-2015-5794: Apple

    CVE-2015-5795: Apple

    CVE-2015-5796: Apple

    CVE-2015-5797: Apple

    CVE-2015-5798 : Apple

    CVE-2015-5799: Apple

    CVE-2015-5800: Apple

    CVE-2015-5801: Apple

    CVE-2015-5802: Apple

    CVE-2015-5803: Apple

    CVE-2015-5804: Apple

    CVE-2015-5805

    CVE-2015-5806: Apple

    CVE-2015-5807: Apple

    CVE-2015-5808: Joe Vennix

    CVE-2015-5809: Apple

    CVE-2015-5810: Apple

    CVE-2015-5811: Apple

    CVE-2015-5812: Apple

    CVE-2015-5813: Apple

    CVE-2015-5814: Apple

    CVE-2015-5815: Apple

    CVE-2015-5816: Apple

    CVE-2015-5817: Apple

    CVE-2015-5818: Apple

    CVE-2015-5819: Apple

    CVE-2015-5821: Apple

    CVE-2015-5822: Mark S. Miller i Google

    CVE-2015-5823: Apple

  • WebKit

    Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

    Virkning: En angriper kan være i stand til å opprette ikke tiltenkte informasjonskapsler for et nettsted

    Beskrivelse: WebKit ville godta at det ble angitt flere informasjonskapsler i document.cookie-API-et. Problemet ble løst gjennom forbedret analyse.

    CVE-ID

    CVE-2015-3801: Erling Ellingsen i Facebook

  • WebKit

    Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

    Virkning: Performance API kan gjøre det mulig for et skadelig nettsted å lekke nettleserhistorikk, nettverksaktivitet og musebevegelser

    Beskrivelse: WebKits Performance API kunne ha tillatt et skadelig nettsted å lekke nettleserhistorikk, nettverksaktivitet og musebevegelser gjennom tidsmålinger. Problemet ble løst ved å begrense tidsoppløsningen.

    CVE-ID

    CVE-2015-5825: Yossi Oren et al. ved Columbia Universitys Network Security Lab

  • WebKit

    Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

    Virkning: Besøk på et skadelig nettsted kan føre til ikke tiltenkt oppringning

    Beskrivelse: Det var et problem i håndteringen av URL-er av typen tel://, facetime:// og facetime-audio://. Problemet ble løst med forbedret URL-håndtering.

    CVE-ID

    CVE-2015-5820 : Guillaume Ross, Andrei Neculaesei

  • WebKit CSS

    Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

    Virkning: Et skadelig nettsted kan eksfiltrere data på tvers av opphav

    Beskrivelse: Safari tillot at stilark ble lastet på tvers av opphav med ikke-CSS MIME-typer som kunne brukes til dataeksfiltrering på tvers av opphav. Problemet ble løst ved å begrense MIME-typer for stilark på tvers av opphav.

    CVE-ID

    CVE-2015-5826 : filedescriptior, Chris Evans

  • WebKit JavaScript Bindings

    Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

    Virkning: Objektreferanser kan lekkes mellom isolerte opphav i tilpassede hendelser, meldingshendelser og «pop state»-hendelser

    Beskrivelse: Et problem med objektlekkasje brøt isoleringsgrensen mellom opphav. Problemet ble løst gjennom forbedret isolering mellom opphav.

    CVE-ID

    CVE-2015-5827: Gildas

  • Lasting av WebKit-sider

    Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

    Virkning: WebSockets kan omgå håndhevelsen av policy for blandet innhold

    Beskrivelse: Et problem med utilstrekkelig håndhevelse av policy gjorde at WebSockets kunne laste blandet innhold. Problemet ble løst ved å utvide håndhevelsen av policy for blandet innhold til WebSockets.

    Kevin G. Jones i Higher Logic

  • WebKit-tillegg

    Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

    Virkning: Safari-programtillegg kan sende en HTTP-forespørsel uten å vite at forespørselen ble omdirigert

    Beskrivelse: Safari-programtilleggenes API kommuniserte ikke til tilleggene at det hadde skjedd en omdirigering på tjenersiden. Dette kunne føre til uautoriserte forespørsler. Problemet ble løst gjennom forbedret API-støtte.

    CVE-ID

    CVE-2015-5828 : Lorenzo Fontana

FaceTime er ikke tilgjengelig i alle land eller regioner.

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: