W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
Safari 9
Safari
Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 i OS X El Capitan 10.11
Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do spreparowania interfejsu użytkownika
Opis: liczne niespójności w interfejsie użytkownika mogły doprowadzić do wyświetlenia dowolnego adresu URL przez złośliwą witrynę. Te problemy rozwiązano przez poprawienie logiki wyświetlania adresów URL.
Identyfikator CVE
CVE-2015-5764: Antonio Sanso (@asanso) z firmy Adobe
CVE-2015-5765: Ron Masas
CVE-2015-5767: Krystian Kloskowski za pośrednictwem programu Secunia, Masato Kinugawa
Pobieranie w przeglądarce Safari
Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 i OS X El Capitan 10.11
Zagrożenie: historia kwarantanny usług LaunchServices może ujawnić historię przeglądania
Opis: uzyskanie dostępu do historii kwarantanny usług LaunchServices mogło spowodować ujawnienie historii przeglądania na podstawie pobranych plików. Ten problem rozwiązano przez poprawienie procedury usuwania historii kwarantanny.
Rozszerzenia
Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 i OS X El Capitan 10.11
Zagrożenie: może zostać naruszone bezpieczeństwo komunikacji lokalnej między rozszerzeniami przeglądarki Safari a aplikacjami towarzyszącymi
Opis: bezpieczeństwo komunikacji lokalnej między rozszerzeniami przeglądarki Safari, takimi jak menedżery haseł, i ich natywnymi aplikacjami towarzyszącymi mogło zostać naruszone przez inną aplikację natywną. Ten problem rozwiązano przez zapewnienie nowego, uwierzytelnionego kanału komunikacji między rozszerzeniami przeglądarki Safari a aplikacjami towarzyszącymi.
Rozszerzenia
Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 i OS X El Capitan 10.11
Zagrożenie: rozszerzenia przeglądarki Safari mogą zostać zastąpione na dysku
Opis: zweryfikowane, zainstalowane przez użytkownika rozszerzenie przeglądarki Safari mogło zostać zastąpione na dysku bez monitowania użytkownika. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności rozszerzeń.
Identyfikator CVE
CVE-2015-5780: Ben Toms z witryny macmule.com
Bezpieczne przeglądanie Safari
Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 i OS X El Capitan 10.11
Zagrożenie: przejście do adresu IP znanej złośliwej witryny może nie skutkować ostrzeżeniem o zabezpieczeniach
Opis: funkcja bezpiecznego przeglądania w przeglądarce Safari nie ostrzegała użytkowników przy odwiedzaniu znanych złośliwych witryn na podstawie ich adresów IP. Ten problem rozwiązano przez poprawienie mechanizmu wykrywania złośliwych witryn.
Rahul M (@rahulmfg) z firmy TagsDock
WebKit
Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 i OS X El Capitan 10.11
Zagrożenie: częściowo wczytane obrazy mogą pobierać dane między różnymi źródłami
Opis: w procedurze sprawdzania źródeł obrazów występował problem związany z sytuacją wyścigu. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności źródeł zasobów.
Identyfikator CVE
CVE-2015-5788: Apple
WebKit
Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 i OS X El Capitan 10.11
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu
Opis: w oprogramowaniu WebKit występowało kilka błędów powodujących uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie obsługi pamięci.
Identyfikator CVE
CVE-2015-5789: Apple
CVE-2015-5790: Apple
CVE-2015-5791: Apple
CVE-2015-5792: Apple
CVE-2015-5793: Apple
CVE-2015-5794: Apple
CVE-2015-5795: Apple
CVE-2015-5796: Apple
CVE-2015-5797: Apple
CVE-2015-5798: Apple
CVE-2015-5799: Apple
CVE-2015-5800: Apple
CVE-2015-5801: Apple
CVE-2015-5802: Apple
CVE-2015-5803: Apple
CVE-2015-5804: Apple
CVE-2015-5805
CVE-2015-5806: Apple
CVE-2015-5807: Apple
CVE-2015-5808: Joe Vennix
CVE-2015-5809: Apple
CVE-2015-5810: Apple
CVE-2015-5811: Apple
CVE-2015-5812: Apple
CVE-2015-5813: Apple
CVE-2015-5814: Apple
CVE-2015-5815: Apple
CVE-2015-5816: Apple
CVE-2015-5817: Apple
CVE-2015-5818: Apple
CVE-2015-5819: Apple
CVE-2015-5821: Apple
CVE-2015-5822: Mark S. Miller z firmy Google
CVE-2015-5823: Apple
WebKit
Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 i OS X El Capitan 10.11
Zagrożenie: osoba atakująca może utworzyć niezamierzone pliki cookie powiązane z witryną
Opis: oprogramowanie WebKit akceptuje wiele plików cookie ustawionych za pomocą interfejsu API document.cookie. Ten problem rozwiązano przez poprawienie procedury analizowania.
Identyfikator CVE
CVE-2015-3801: Erling Ellingsen z firmy Facebook
WebKit
Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 i OS X El Capitan 10.11
Zagrożenie: interfejs API Performance pozwala złośliwej witrynie na ujawnienie historii przeglądania, aktywności sieciowej i ruchów myszy
Opis: interfejs API Performance oprogramowania WebKit pozwalał złośliwej witrynie na ujawnienie historii przeglądania, aktywności sieciowej i ruchów myszy przez mierzenie czasu. Ten problem rozwiązano przez ograniczenie rozdzielczości czasu.
Identyfikator CVE
CVE-2015-5825: Yossi Oren i in. z instytutu Network Security Lab na uczelni Columbia University
WebKit
Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 i OS X El Capitan 10.11
Zagrożenie: odwiedzenie złośliwej witryny może spowodować nieoczekiwane wybranie numeru
Opis: w procedurze obsługi adresów URL tel://, facetime:// i facetime-audio:// występował błąd. Ten problem rozwiązano przez poprawienie procedury obsługi adresów URL.
Identyfikator CVE
CVE-2015-5820: Guillaume Ross, Andrei Neculaesei
WebKit CSS
Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 i OS X El Capitan 10.11
Zagrożenie: złośliwie spreparowana witryna internetowa może pobierać między różnymi źródłami
Opis: przeglądarka Safari umożliwiała wczytywanie arkuszy stylów z innych źródeł z typami MIME niezgodnymi z formatem CSS, co mogło służyć do pobierania danych między różnymi źródłami. Ten problem rozwiązano przez ograniczenie typów MIME w przypadku arkuszy stylów z innych źródeł.
Identyfikator CVE
CVE-2015-5826: filedescriptior, Chris Evans
Powiązania JavaScript oprogramowania WebKit
Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 i OS X El Capitan 10.11
Zagrożenie: odwołania do obiektów mogą być ujawniane pomiędzy źródłami izolowanymi w przypadku zdarzeń niestandardowych, zdarzeń komunikatów i zdarzeń stanu POP
Opis: błąd ujawniania obiektów przerywał izolację między różnymi źródłami. Ten problem rozwiązano przez ulepszenie izolacji między źródłami.
Identyfikator CVE
CVE-2015-5827: Gildas
WebKit — wczytywanie stron
Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 i OS X El Capitan 10.11
Zagrożenie: oprogramowanie WebSockets może ominąć mechanizm wymuszania zasad dla zawartości mieszanej
Opis: błąd niewystarczającego wymuszania zasad umożliwiał oprogramowaniu WebSockets wczytywanie zawartości mieszanej. Ten problem rozwiązano przez rozszerzenie procedur wymuszania zasad dla zawartości mieszanej tak, aby obejmowały oprogramowanie WebSockets.
Kevin G. Jones z firmy Higher Logic
Wtyczki WebKit
Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 i OS X El Capitan 10.11
Zagrożenie: wtyczki przeglądarki Safari mogą wysyłać żądanie HTTP nie wiedząc, że żądanie zostało przekierowane
Opis: interfejs API wtyczek przeglądarki Safari nie przekazywał wtyczkom informacji o wystąpieniu przekierowania po stronie serwera. Może to skutkować nieautoryzowanymi żądaniami. Ten problem rozwiązano przez poprawienie obsługi interfejsu API.
Identyfikator CVE
CVE-2015-5828: Lorenzo Fontana
Funkcja FaceTime nie jest dostępna we wszystkich krajach i regionach.