Om sikkerhetsinnholdet i Safari 9.1.2

Dette dokumentet beskriver sikkerhetsinnholdet i Safari 9.1.2

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.

For mer informasjon om sikkerhet kan du gå til siden for Apple Produktsikkerthet. Du kan kryptere kommunikasjon med Apple ved å bruke PGP-nøkkelen for Apple Produktsikkerhet.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

Safari 9.1.2

WebKit

Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11.6

Virkning: Besøk på et skadelig nettsted kan føre til at vilkårlig kode utføres

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2016-4589: Tongbo Luo og Bo Qu fra Palo Alto Networks

CVE-2016-4622: Samuel Gross arbeider med Trend Micros Zero Day

CVE-2016-4623: Apple

CVE-2016-4624: Apple

CVE-2016-4586: Apple

WebKit

Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11.6

Virkning: Besøk på et skadelig nettsted kan avdekke bildedata fra et annet nettsted

Beskrivelse: Det var et timingproblem med håndteringen av SVG. Problemet ble løst gjennom forbedret validering.

CVE-2016-4583: Roeland Krak

WebKit

Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11.6

Virkning: Besøk på et skadelig nettsted kan forårsake nekting av tjeneste på systemet

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2016-4592: Mikhail

WebKit

Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11.6

Virkning: Besøk på et skadelig nettsted kan lekke sensitive opplysninger

Beskrivelse: Det var et problem med tillatelser i håndteringen av posisjonsvariabelen. Problemet ble løst gjennom ytterligere kontroller av eierskap.

CVE-2016-4591: ma.la of LINE Corporation

WebKit

Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11.6

Virkning: Besøk på et skadelig nettsted kan føre til grensesnittsvindel

Beskrivelse: Det var et problem med opprinnelsesarv i parsingen av about:-nettadresser. Problemet ble løst gjennom forbedret validering av sikkerhetsopphav.

CVE-2016-4590: xisigr fra Tencents Xuanwu Lab (www.tencent.com)

WebKit JavaScript Bindings

Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11.6

Virkning: Besøk på et skadelig nettsted kan føre til skriptkjøring på en tjeneste som ikke er HTTP

Beskrivelse: Det var et problem med protokoller og skripting på tvers av nettsteder (XPXSS) i Safari da du sendte inn tjenester som ikke er HTTP som er kompatible med HTTP/0.9. Dette problemet ble løst ved å deaktivere skripter og programtillegg som ble lastet inn med HTTP/0.9.

CVE-2016-4651: Obscure

Lasting av WebKit-sider

Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11.6

Virkning: Et skadelig nettsted kan eksfiltrere data på tvers av opphav

Beskrivelse: Det var et problem med skripting på tvers av nettsteder i omdirigerings-nettadressen til Safari. Problemet ble løst gjennom forbedret URL-validering etter omdirigering.

CVE-2016-4585: Takeshi Terada fra Mitsui Bussan Secure Directions, Inc. (www.mbsd.jp)

Lasting av WebKit-sider

Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11.6

Virkning: Besøk på et skadelig nettsted kan føre til at vilkårlig kode utføres

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2016-4584: Chris Vienneau