W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
Safari 9.1
Safari
Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 oraz OS X El Capitan 10.11.4
Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do spreparowania interfejsu użytkownika.
Opis: występował problem polegający na tym, że w tekście okna dialogowego zawarty był tekst dostarczony przez stronę. Ten problem został rozwiązany przez usunięcie tego tekstu.
Identyfikator CVE
CVE-2009-2197: Alexios Fakos z n.runs AG
Pobieranie w przeglądarce Safari
Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 oraz OS X El Capitan 10.11.4
Zagrożenie: odwiedzenie złośliwie spreparowanej strony internetowej może doprowadzić do ataku typu „odmowa usługi” na system.
Opis: w procedurach obsługi określonych plików występował błąd niewystarczającego sprawdzania poprawności. Ten problem rozwiązano przez wprowadzenie dodatkowej kontroli podczas rozszerzania plików.
Identyfikator CVE
CVE-2016-1771: Russ Cox
Funkcja Top Sites przeglądarki Safari
Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 oraz OS X El Capitan 10.11.4
Zagrożenie: witryna internetowa może być w stanie ujawnić poufne informacje użytkownika.
Opis: na stronie Top Sites występował błąd dotyczący przechowywania plików cookie. Ten problem rozwiązano przez poprawienie procedury zarządzania stanem.
Identyfikator CVE
CVE-2016-1772: WoofWagly
WebKit
Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 oraz OS X El Capitan 10.11.4
Zagrożenie: witryna internetowa może być w stanie ujawnić poufne informacje użytkownika.
Opis: w procedurze obsługi adresów URL załączników występował błąd. Ten problem rozwiązano przez poprawienie procedury obsługi adresów URL.
Identyfikator CVE
CVE-2016-1781: Devdatta Akhawe z Dropbox, Inc.
WebKit
Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 oraz OS X El Capitan 10.11.4
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości WWW może spowodować wykonanie dowolnego kodu.
Opis: poprawiono obsługę pamięci w celu wyeliminowania wielu problemów mogących powodować uszkodzenie zawartości pamięci.
Identyfikator CVE
CVE-2016-1778: 0x1byte w ramach programu Zero Day Initiative (ZDI) firmy Trend Micro i Yang Zhao z CM Security
CVE-2016-1783: Mihai Parparita z Google
WebKit
Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 oraz OS X El Capitan 10.11.4
Zagrożenie: złośliwa witryna może uzyskać dostęp do objętych ograniczeniami portów na dowolnych serwerach.
Opis: rozwiązano problem z przekierowywaniem portów przez wprowadzenie dodatkowego sprawdzania poprawności portów.
Identyfikator CVE
CVE-2016-1782: Muneaki Nishimura (nishimunea) z Recruit Technologies Co.,Ltd.
WebKit
Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 oraz OS X El Capitan 10.11.4
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować ujawnienie bieżącej lokalizacji użytkownika.
Opis: w procedurze analizowania żądań geolokalizacji występował błąd. Ten problem rozwiązano przez poprawienie procesu sprawdzania źródeł informacji dotyczących zabezpieczeń w zakresie żądań geolokalizacji.
Identyfikator CVE
CVE-2016-1779: xisigr z Xuanwu Lab firmy Tencent (www.tencent.com)
WebKit
Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 oraz OS X El Capitan 10.11.4
Zagrożenie: otwarcie złośliwie spreparowanego adresu URL może spowodować ujawnienie poufnych informacji użytkownika.
Opis: podczas używania narzędzia XSS Auditor w trybie blokowania występował błąd przekierowania adresu URL. Ten problem rozwiązano przez poprawienie mechanizmu nawigacji po adresach URL.
Identyfikator CVE
CVE-2016-1864: Takeshi Terada z Mitsui Bussan Secure Directions, Inc.
WebKit — historia
Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 oraz OS X El Capitan 10.11.4
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości WWW może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.
Opis: rozwiązano błąd powodujący wyczerpanie pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
Identyfikator CVE
CVE-2016-1784: Moony Li i Jack Tang z TrendMicro i 李普君 of 无声信息技术PKAV Team (PKAV.net)
WebKit — wczytywanie stron
Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 oraz OS X El Capitan 10.11.4
Zagrożenie: złośliwie spreparowana witryna internetowa może pobierać między różnymi źródłami.
Opis: w kodowaniu znaków występował błąd buforowania. Ten problem rozwiązano przez wprowadzenie dodatkowego sprawdzania żądań.
Identyfikator CVE
CVE-2016-1785: anonimowy badacz
WebKit — wczytywanie stron
Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 oraz OS X El Capitan 10.11.4
Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do spreparowania interfejsu użytkownika.
Opis: odpowiedzi przekierowania mogły umożliwić złośliwej witrynie wyświetlanie dowolnego adresu URL i odczytywanie zbuforowanej zawartości źródła miejsca docelowego. Ten problem rozwiązano przez poprawienie logiki wyświetlania adresów URL.
Identyfikator CVE
CVE-2016-1786: ma.la z LINE Corporation