Informacje o zawartości związanej z zabezpieczeniami w przeglądarkach Safari 8.0.8, Safari 7.1.8 i Safari 6.2.8.

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w przeglądarkach Safari 8.0.8, Safari 7.1.8 i Safari 6.2.8.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

Safari 8.0.8, Safari 7.1.8 i Safari 6.2.8

• Safari — aplikacja

  Dostępne dla: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 i OS X Yosemite 10.10.4

  Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do spreparowania interfejsu użytkownika.

  Opis: złośliwa witryna internetowa może otworzyć inną witrynę i wyświetlić monit o wprowadzenie danych przez użytkownika tak, że użytkownik nie będzie wiedział, skąd pochodzi monit. Rozwiązanie problemu polega na wyświetlaniu źródła monitu, tak aby użytkownik mógł je zobaczyć.

  Identyfikator CVE

  CVE-2015-3729: Code Audit Labs z VulnHunt.com

• WebKit

  Dostępne dla: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 i OS X Yosemite 10.10.4

  Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

  Opis: w oprogramowaniu WebKit występowało kilka błędów powodujących uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie obsługi pamięci.

  Identyfikator CVE

  CVE-2015-3730: Apple

  CVE-2015-3731: Apple

  CVE-2015-3732: Apple

  CVE-2015-3733: Apple

  CVE-2015-3734: Apple

  CVE-2015-3735: Apple

  CVE-2015-3736: Apple

  CVE-2015-3737: Apple

  CVE-2015-3738: Apple

  CVE-2015-3739: Apple

  CVE-2015-3740: Apple

  CVE-2015-3741: Apple

  CVE-2015-3742: Apple

  CVE-2015-3743: Apple

  CVE-2015-3744: Apple

  CVE-2015-3745: Apple

  CVE-2015-3746: Apple

  CVE-2015-3747: Apple

  CVE-2015-3748: Apple

  CVE-2015-3749: Apple

• WebKit

  Dostępne dla: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 i OS X Yosemite 10.10.4

  Zagrożenie: złośliwie spreparowana witryna internetowa może spowodować wysłanie żądania w postaci zwykłego tekstu do źródła chronionego mechanizmem HTTP Strict Transport Security.

  Opis: wykryto błąd, w wyniku którego żądania raportowe dotyczące reguł Content Security Policy nie honorowały zabezpieczeń HTTP Strict Transport Security. Rozwiązanie problemu polega na lepszym egzekwowaniu zabezpieczeń HTTP Strict Transport Security.

  Identyfikator CVE

  CVE-2015-3750: Muneaki Nishimura (nishimunea)

• WebKit

  Dostępne dla: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 i OS X Yosemite 10.10.4

  Zagrożenie: obrazy mogą być wczytywane wbrew dyrektywie Content Security Policy dla witryny internetowej.

  Opis: wykryto błąd, w wyniku którego witryny internetowe z odtwarzaczami wideo wczytywały obrazy zagnieżdżone w elementach object wbrew dyrektywie Content Security Policy. Rozwiązanie problemu polega na lepszym egzekwowaniu reguł Content Security Policy.

  Identyfikator CVE

  CVE-2015-3751: Muneaki Nishimura (nishimunea)

• WebKit

  Dostępne dla: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 i OS X Yosemite 10.10.4

  Zagrożenie: żądania raportowe dotyczące reguł Content Security Policy mogły powodować ujawnienie plików cookie.

  Opis: wykryto dwa błędy w sposobie dodawania plików cookie do żądań raportowych dotyczących reguł Content Security Policy. Pliki cookie były wysyłane w międzyźródłowych żądaniach raportowych niezgodnie ze standardem. Pliki cookie utworzone podczas normalnego przeglądania były wysyłane podczas przeglądania prywatnego. Rozwiązanie tych problemów polega na poprawieniu obsługi plików cookie.

  Identyfikator CVE

  CVE-2015-3752: Muneaki Nishimura (nishimunea)

• WebKit — element canvas

  Dostępne dla: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 i OS X Yosemite 10.10.4

  Zagrożenie: złośliwie spreparowana witryna internetowa może eksfiltrować dane z zewnętrznego źródła.

  Opis: obrazy pobierane za pośrednictwem adresów URL przekierowujących do źródła data:image mogły być eksfiltrowane z zewnętrznego źródła. Rozwiązanie problemu polega na poprawieniu procedury śledzenia skażenia elementu canvas.

  Identyfikator CVE

  CVE-2015-3753: Antonio Sanso i Damien Antipa z Adobe

• WebKit — wczytywanie stron

  Dostępne dla: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 i OS X Yosemite 10.10.4

  Zagrożenie: zbuforowany stan uwierzytelniania może pozwolić na ujawnienie historii przeglądania prywatnego.

  Opis: wykryto błąd w sposobie buforowania informacji związanych z uwierzytelnianiem HTTP. Dane uwierzytelniające wprowadzone w trybie przeglądania prywatnego były przenoszone do normalnego przeglądania, co prowadziło do ujawnienia części historii użytkownika z trybu przeglądania prywatnego. Rozwiązanie problemu polega na zastosowaniu lepszych ograniczeń co do buforowania.

  Identyfikator CVE

  CVE-2015-3754: Dongsung Kim (@kid1ng)

• WebKit — model procesowy

  Dostępne dla: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 i OS X Yosemite 10.10.4

  Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do spreparowania interfejsu użytkownika.

  Opis: otwarcie źle skonstruowanego adresu URL mogło pozwolić złośliwej witrynie internetowej na wyświetlenie dowolnego adresu URL. Rozwiązanie problemu polega na poprawieniu procedury obsługi adresów URL.

  Identyfikator CVE

  CVE-2015-3755: xisigr z Xuanwu Lab firmy Tencent