Informacje o zawartości związanej z zabezpieczeniami w przeglądarkach Safari 8.0.7, Safari 7.1.7 i Safari 6.2.7

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w przeglądarkach Safari 8.0.7, Safari 7.1.7 i Safari 6.2.7.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

Safari 8.0.7, Safari 7.1.7 i Safari 6.2.7

  • WebKit

    Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 i OS X Yosemite 10.10.3

    Zagrożenie: złośliwie spreparowana witryna może uzyskać dostęp do baz danych WebSQL innych witryn.

    Opis: wykryto błąd w procedurze sprawdzania autoryzacji przy zmienianiu nazw tabel WebSQL. Ten błąd mógł pozwolić złośliwie spreparowanej witrynie na uzyskanie dostępu do baz danych należących do innych witryn. Ten problem rozwiązano przez poprawienie procedur sprawdzania autoryzacji.

    Identyfikator CVE

    CVE-2015-3727: Peter Rutenbar w ramach programu Zero Day Initiative firmy HP

  • WebKit — wczytywanie stron

    Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 i OS X Yosemite 10.10.3

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do przejęcia konta.

    Opis: wykryto błąd, w wyniku którego przeglądarka Safari zachowywała nagłówek Origin z żądania HTTP przy przekierowaniach typu „cross-origin”, pozwalając złośliwie spreparowanym witrynom na obejście zabezpieczeń przed atakiem CSRF. Rozwiązanie problemu polega na poprawieniu procedury obsługi przekierowań.

    Identyfikator CVE

    CVE-2015-3658: Brad Hill z Facebooka

  • WebKit PDF

    Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 i OS X Yosemite 10.10.3

    Zagrożenie: kliknięcie złośliwie spreparowanego łącza w dokumencie PDF osadzonym na stronie internetowej może doprowadzić do kradzieży plików cookie lub wycieku danych użytkownika.

    Opis: wykryto problem z łączami osadzonymi w dokumentach PDF, mogącymi wykonywać skrypty JavaScript w kontekście strony hostującej. Ten problem rozwiązano przez ograniczenie obsługi łączy javascriptowych.

    Identyfikator CVE

    CVE-2015-3660: Apple

  • Magazyn WebKit

    Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 i OS X Yosemite 10.10.3

    Zagrożenie: odwiedzenie złośliwie spreparowanej strony internetowej może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w autoryzatorze SQLite występował błąd niewystarczającego porównania, który pozwalał na wywołanie dowolnych funkcji SQL. Ten problem rozwiązano przez poprawienie procedur sprawdzania autoryzacji.

    Identyfikator CVE

    CVE-2015-3659: Peter Rutenbar w ramach programu Zero Day Initiative firmy HP

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: