Informacje o zawartości związanej z zabezpieczeniami w przeglądarkach Safari 8.0.7, Safari 7.1.7 i Safari 6.2.7

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w przeglądarkach Safari 8.0.7, Safari 7.1.7 i Safari 6.2.7.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

Safari 8.0.7, Safari 7.1.7 i Safari 6.2.7

  • WebKit

    Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 i OS X Yosemite 10.10.3

    Zagrożenie: złośliwie spreparowana witryna może uzyskać dostęp do baz danych WebSQL innych witryn.

    Opis: wykryto błąd w procedurze sprawdzania autoryzacji przy zmienianiu nazw tabel WebSQL. Ten błąd mógł pozwolić złośliwie spreparowanej witrynie na uzyskanie dostępu do baz danych należących do innych witryn. Ten problem rozwiązano przez poprawienie procedur sprawdzania autoryzacji.

    Identyfikator CVE

    CVE-2015-3727: Peter Rutenbar w ramach programu Zero Day Initiative firmy HP

  • WebKit — wczytywanie stron

    Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 i OS X Yosemite 10.10.3

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do przejęcia konta.

    Opis: wykryto błąd, w wyniku którego przeglądarka Safari zachowywała nagłówek Origin z żądania HTTP przy przekierowaniach typu „cross-origin”, pozwalając złośliwie spreparowanym witrynom na obejście zabezpieczeń przed atakiem CSRF. Rozwiązanie problemu polega na poprawieniu procedury obsługi przekierowań.

    Identyfikator CVE

    CVE-2015-3658: Brad Hill z Facebooka

  • WebKit PDF

    Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 i OS X Yosemite 10.10.3

    Zagrożenie: kliknięcie złośliwie spreparowanego łącza w dokumencie PDF osadzonym na stronie internetowej może doprowadzić do kradzieży plików cookie lub wycieku danych użytkownika.

    Opis: wykryto problem z łączami osadzonymi w dokumentach PDF, mogącymi wykonywać skrypty JavaScript w kontekście strony hostującej. Ten problem rozwiązano przez ograniczenie obsługi łączy javascriptowych.

    Identyfikator CVE

    CVE-2015-3660: Apple

  • Magazyn WebKit

    Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 i OS X Yosemite 10.10.3

    Zagrożenie: odwiedzenie złośliwie spreparowanej strony internetowej może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w autoryzatorze SQLite występował błąd niewystarczającego porównania, który pozwalał na wywołanie dowolnych funkcji SQL. Ten problem rozwiązano przez poprawienie procedur sprawdzania autoryzacji.

    Identyfikator CVE

    CVE-2015-3659: Peter Rutenbar w ramach programu Zero Day Initiative firmy HP

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: