W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
Safari 8.0.8, Safari 7.1.8 i Safari 6.2.8
Safari — aplikacja
Dostępne dla: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 i OS X Yosemite 10.10.4
Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do spreparowania interfejsu użytkownika.
Opis: złośliwa witryna internetowa może otworzyć inną witrynę i wyświetlić monit o wprowadzenie danych przez użytkownika tak, że użytkownik nie będzie wiedział, skąd pochodzi monit. Rozwiązanie problemu polega na wyświetlaniu źródła monitu, tak aby użytkownik mógł je zobaczyć.
Identyfikator CVE
CVE-2015-3729: Code Audit Labs z VulnHunt.com
WebKit
Dostępne dla: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 i OS X Yosemite 10.10.4
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w oprogramowaniu WebKit występowało kilka błędów powodujących uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie obsługi pamięci.
Identyfikator CVE
CVE-2015-3730: Apple
CVE-2015-3731: Apple
CVE-2015-3732: Apple
CVE-2015-3733: Apple
CVE-2015-3734: Apple
CVE-2015-3735: Apple
CVE-2015-3736: Apple
CVE-2015-3737: Apple
CVE-2015-3738: Apple
CVE-2015-3739: Apple
CVE-2015-3740: Apple
CVE-2015-3741: Apple
CVE-2015-3742: Apple
CVE-2015-3743: Apple
CVE-2015-3744: Apple
CVE-2015-3745: Apple
CVE-2015-3746: Apple
CVE-2015-3747: Apple
CVE-2015-3748: Apple
CVE-2015-3749: Apple
WebKit
Dostępne dla: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 i OS X Yosemite 10.10.4
Zagrożenie: złośliwie spreparowana witryna internetowa może spowodować wysłanie żądania w postaci zwykłego tekstu do źródła chronionego mechanizmem HTTP Strict Transport Security.
Opis: wykryto błąd, w wyniku którego żądania raportowe dotyczące reguł Content Security Policy nie honorowały zabezpieczeń HTTP Strict Transport Security. Rozwiązanie problemu polega na lepszym egzekwowaniu zabezpieczeń HTTP Strict Transport Security.
Identyfikator CVE
CVE-2015-3750: Muneaki Nishimura (nishimunea)
WebKit
Dostępne dla: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 i OS X Yosemite 10.10.4
Zagrożenie: obrazy mogą być wczytywane wbrew dyrektywie Content Security Policy dla witryny internetowej.
Opis: wykryto błąd, w wyniku którego witryny internetowe z odtwarzaczami wideo wczytywały obrazy zagnieżdżone w elementach object wbrew dyrektywie Content Security Policy. Rozwiązanie problemu polega na lepszym egzekwowaniu reguł Content Security Policy.
Identyfikator CVE
CVE-2015-3751: Muneaki Nishimura (nishimunea)
WebKit
Dostępne dla: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 i OS X Yosemite 10.10.4
Zagrożenie: żądania raportowe dotyczące reguł Content Security Policy mogły powodować ujawnienie plików cookie.
Opis: wykryto dwa błędy w sposobie dodawania plików cookie do żądań raportowych dotyczących reguł Content Security Policy. Pliki cookie były wysyłane w międzyźródłowych żądaniach raportowych niezgodnie ze standardem. Pliki cookie utworzone podczas normalnego przeglądania były wysyłane podczas przeglądania prywatnego. Rozwiązanie tych problemów polega na poprawieniu obsługi plików cookie.
Identyfikator CVE
CVE-2015-3752: Muneaki Nishimura (nishimunea)
WebKit — element canvas
Dostępne dla: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 i OS X Yosemite 10.10.4
Zagrożenie: złośliwie spreparowana witryna internetowa może eksfiltrować dane z zewnętrznego źródła.
Opis: obrazy pobierane za pośrednictwem adresów URL przekierowujących do źródła data:image mogły być eksfiltrowane z zewnętrznego źródła. Rozwiązanie problemu polega na poprawieniu procedury śledzenia skażenia elementu canvas.
Identyfikator CVE
CVE-2015-3753: Antonio Sanso i Damien Antipa z Adobe
WebKit — wczytywanie stron
Dostępne dla: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 i OS X Yosemite 10.10.4
Zagrożenie: zbuforowany stan uwierzytelniania może pozwolić na ujawnienie historii przeglądania prywatnego.
Opis: wykryto błąd w sposobie buforowania informacji związanych z uwierzytelnianiem HTTP. Dane uwierzytelniające wprowadzone w trybie przeglądania prywatnego były przenoszone do normalnego przeglądania, co prowadziło do ujawnienia części historii użytkownika z trybu przeglądania prywatnego. Rozwiązanie problemu polega na zastosowaniu lepszych ograniczeń co do buforowania.
Identyfikator CVE
CVE-2015-3754: Dongsung Kim (@kid1ng)
WebKit — model procesowy
Dostępne dla: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 i OS X Yosemite 10.10.4
Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do spreparowania interfejsu użytkownika.
Opis: otwarcie źle skonstruowanego adresu URL mogło pozwolić złośliwej witrynie internetowej na wyświetlenie dowolnego adresu URL. Rozwiązanie problemu polega na poprawieniu procedury obsługi adresów URL.
Identyfikator CVE
CVE-2015-3755: xisigr z Xuanwu Lab firmy Tencent