Informacje o zawartości związanej z zabezpieczeniami w przeglądarce Safari 9

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w przeglądarce Safari 9.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

Safari 9

  • Safari

    Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 i OS X El Capitan 10.11

    Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do spreparowania interfejsu użytkownika

    Opis: liczne niespójności w interfejsie użytkownika mogły doprowadzić do wyświetlenia dowolnego adresu URL przez złośliwą witrynę. Te problemy rozwiązano przez poprawienie logiki wyświetlania adresów URL.

    Identyfikator CVE

    CVE-2015-5764: Antonio Sanso (@asanso) z firmy Adobe

    CVE-2015-5765: Ron Masas

    CVE-2015-5767: Krystian Kloskowski za pośrednictwem programu Secunia, Masato Kinugawa

  • Pobieranie w przeglądarce Safari

    Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 i OS X El Capitan 10.11

    Zagrożenie: historia kwarantanny usług LaunchServices może ujawnić historię przeglądania

    Opis: uzyskanie dostępu do historii kwarantanny usług LaunchServices mogło spowodować ujawnienie historii przeglądania na podstawie pobranych plików. Ten problem rozwiązano przez poprawienie procedury usuwania historii kwarantanny.

  • Rozszerzenia

    Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 i OS X El Capitan 10.11

    Zagrożenie: może zostać naruszone bezpieczeństwo komunikacji lokalnej między rozszerzeniami przeglądarki Safari a aplikacjami towarzyszącymi

    Opis: bezpieczeństwo komunikacji lokalnej między rozszerzeniami przeglądarki Safari, takimi jak menedżery haseł, i ich natywnymi aplikacjami towarzyszącymi mogło zostać naruszone przez inną aplikację natywną. Ten problem rozwiązano przez zapewnienie nowego, uwierzytelnionego kanału komunikacji między rozszerzeniami przeglądarki Safari a aplikacjami towarzyszącymi.

  • Rozszerzenia

    Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 i OS X El Capitan 10.11

    Zagrożenie: rozszerzenia przeglądarki Safari mogą zostać zastąpione na dysku

    Opis: zweryfikowane, zainstalowane przez użytkownika rozszerzenie przeglądarki Safari mogło zostać zastąpione na dysku bez monitowania użytkownika. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności rozszerzeń.

    Identyfikator CVE

    CVE-2015-5780: Ben Toms z witryny macmule.com

  • Bezpieczne przeglądanie Safari

    Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 i OS X El Capitan 10.11

    Zagrożenie: przejście do adresu IP znanej złośliwej witryny może nie skutkować ostrzeżeniem o zabezpieczeniach

    Opis: funkcja bezpiecznego przeglądania w przeglądarce Safari nie ostrzegała użytkowników przy odwiedzaniu znanych złośliwych witryn na podstawie ich adresów IP. Ten problem rozwiązano przez poprawienie mechanizmu wykrywania złośliwych witryn.

    Rahul M (@rahulmfg) z firmy TagsDock

  • WebKit

    Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 i OS X El Capitan 10.11

    Zagrożenie: częściowo wczytane obrazy mogą pobierać dane między różnymi źródłami

    Opis: w procedurze sprawdzania źródeł obrazów występował problem związany z sytuacją wyścigu. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności źródeł zasobów.

    Identyfikator CVE

    CVE-2015-5788: Apple

  • WebKit

    Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 i OS X El Capitan 10.11

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu

    Opis: w oprogramowaniu WebKit występowało kilka błędów powodujących uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5789: Apple

    CVE-2015-5790: Apple

    CVE-2015-5791: Apple

    CVE-2015-5792: Apple

    CVE-2015-5793: Apple

    CVE-2015-5794: Apple

    CVE-2015-5795: Apple

    CVE-2015-5796: Apple

    CVE-2015-5797: Apple

    CVE-2015-5798: Apple

    CVE-2015-5799: Apple

    CVE-2015-5800: Apple

    CVE-2015-5801: Apple

    CVE-2015-5802: Apple

    CVE-2015-5803: Apple

    CVE-2015-5804: Apple

    CVE-2015-5805

    CVE-2015-5806: Apple

    CVE-2015-5807: Apple

    CVE-2015-5808: Joe Vennix

    CVE-2015-5809: Apple

    CVE-2015-5810: Apple

    CVE-2015-5811: Apple

    CVE-2015-5812: Apple

    CVE-2015-5813: Apple

    CVE-2015-5814: Apple

    CVE-2015-5815: Apple

    CVE-2015-5816: Apple

    CVE-2015-5817: Apple

    CVE-2015-5818: Apple

    CVE-2015-5819: Apple

    CVE-2015-5821: Apple

    CVE-2015-5822: Mark S. Miller z firmy Google

    CVE-2015-5823: Apple

  • WebKit

    Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 i OS X El Capitan 10.11

    Zagrożenie: osoba atakująca może utworzyć niezamierzone pliki cookie powiązane z witryną

    Opis: oprogramowanie WebKit akceptuje wiele plików cookie ustawionych za pomocą interfejsu API document.cookie. Ten problem rozwiązano przez poprawienie procedury analizowania.

    Identyfikator CVE

    CVE-2015-3801: Erling Ellingsen z firmy Facebook

  • WebKit

    Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 i OS X El Capitan 10.11

    Zagrożenie: interfejs API Performance pozwala złośliwej witrynie na ujawnienie historii przeglądania, aktywności sieciowej i ruchów myszy

    Opis: interfejs API Performance oprogramowania WebKit pozwalał złośliwej witrynie na ujawnienie historii przeglądania, aktywności sieciowej i ruchów myszy przez mierzenie czasu. Ten problem rozwiązano przez ograniczenie rozdzielczości czasu.

    Identyfikator CVE

    CVE-2015-5825: Yossi Oren i in. z instytutu Network Security Lab na uczelni Columbia University

  • WebKit

    Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 i OS X El Capitan 10.11

    Zagrożenie: odwiedzenie złośliwej witryny może spowodować nieoczekiwane wybranie numeru

    Opis: w procedurze obsługi adresów URL tel://, facetime:// i facetime-audio:// występował błąd. Ten problem rozwiązano przez poprawienie procedury obsługi adresów URL.

    Identyfikator CVE

    CVE-2015-5820: Guillaume Ross, Andrei Neculaesei

  • WebKit CSS

    Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 i OS X El Capitan 10.11

    Zagrożenie: złośliwie spreparowana witryna internetowa może pobierać między różnymi źródłami

    Opis: przeglądarka Safari umożliwiała wczytywanie arkuszy stylów z innych źródeł z typami MIME niezgodnymi z formatem CSS, co mogło służyć do pobierania danych między różnymi źródłami. Ten problem rozwiązano przez ograniczenie typów MIME w przypadku arkuszy stylów z innych źródeł.

    Identyfikator CVE

    CVE-2015-5826: filedescriptior, Chris Evans

  • Powiązania JavaScript oprogramowania WebKit

    Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 i OS X El Capitan 10.11

    Zagrożenie: odwołania do obiektów mogą być ujawniane pomiędzy źródłami izolowanymi w przypadku zdarzeń niestandardowych, zdarzeń komunikatów i zdarzeń stanu POP

    Opis: błąd ujawniania obiektów przerywał izolację między różnymi źródłami. Ten problem rozwiązano przez ulepszenie izolacji między źródłami.

    Identyfikator CVE

    CVE-2015-5827: Gildas

  • WebKit — wczytywanie stron

    Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 i OS X El Capitan 10.11

    Zagrożenie: oprogramowanie WebSockets może ominąć mechanizm wymuszania zasad dla zawartości mieszanej

    Opis: błąd niewystarczającego wymuszania zasad umożliwiał oprogramowaniu WebSockets wczytywanie zawartości mieszanej. Ten problem rozwiązano przez rozszerzenie procedur wymuszania zasad dla zawartości mieszanej tak, aby obejmowały oprogramowanie WebSockets.

    Kevin G. Jones z firmy Higher Logic

  • Wtyczki WebKit

    Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 i OS X El Capitan 10.11

    Zagrożenie: wtyczki przeglądarki Safari mogą wysyłać żądanie HTTP nie wiedząc, że żądanie zostało przekierowane

    Opis: interfejs API wtyczek przeglądarki Safari nie przekazywał wtyczkom informacji o wystąpieniu przekierowania po stronie serwera. Może to skutkować nieautoryzowanymi żądaniami. Ten problem rozwiązano przez poprawienie obsługi interfejsu API.

    Identyfikator CVE

    CVE-2015-5828: Lorenzo Fontana

Funkcja FaceTime nie jest dostępna we wszystkich krajach i regionach.

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: