Сведения о проблемах безопасности, устраненных в браузере Safari 9.1

В этом документе описываются проблемы безопасности, устраненные в браузере Safari 9.1.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на веб-сайте Безопасность продуктов Apple.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

Safari 9.1

• Safari

  Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11.4

  Воздействие. Посещение вредоносного веб-сайта может привести к подмене пользовательского интерфейса.

  Описание. Существовала ошибка, вследствие которой текст диалогового окна включал текст, предоставленный веб-страницей. Проблема решена путем исключения данного текста.

  Идентификатор CVE

  CVE-2009-2197: Алексиос Факос (Alexios Fakos) из n.runs AG

• Загрузки Safari

  Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11.4

  Воздействие. Посещение вредоносной веб-страницы могло привести к системному отказу в обслуживании.

  Описание. В обработчике определенных типов файлов существовала проблема недостаточной проверки ввода. Проблема устранена введением дополнительных проверок в ходе распаковки файлов.

  Идентификатор CVE

  CVE-2016-1771: Расс Кокс (Russ Cox)

• Популярные сайты в Safari

  Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11.4

  Воздействие. Веб-сайт мог отслеживать конфиденциальные данные пользователя.

  Описание. На странице популярных сайтов существовала проблема сохранения файлов cookie. Эта проблема устранена путем усовершенствования управления состоянием.

  Идентификатор CVE

  CVE-2016-1772: WoofWagly

• WebKit

  Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11.4

  Воздействие. Веб-сайт мог отслеживать конфиденциальные данные пользователя.

  Описание. Существовала ошибка в обработчике URL-адресов вложений. Проблема устранена путем улучшенной обработки URL-ссылок.

  Идентификатор CVE

  CVE-2016-1781: Деватта Ахаве (Devdatta Akhawe) из компании Dropbox Inc.

• WebKit

  Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11.4

  Воздействие. Обработка вредоносного веб-содержимого может привести к выполнению произвольного кода

  Описание. Ряд ошибок, вызывавших повреждение памяти, устранен путем улучшения процедур работы с памятью.

  Идентификатор CVE

  CVE-2016-1778: пользователь 0x1byte, работающий по программе Zero Day Initiative (ZDI) компании Trend Micro, и Янг Жао (Yang Zhao) из CM Security

  CVE-2016-1783: Михай Парпарита (Mihai Parparita) из компании Google

• WebKit

  Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11.4

  Воздействие. Вредоносный веб-сайт мог получить доступ к портам с ограниченным доступом на произвольных серверах.

  Описание. Проблема перенаправления портов устранена введением дополнительной проверки портов.

  Идентификатор CVE

  CVE-2016-1782: Мунэаки Нисимура (Muneaki Nishimura, nishimunea) из компании Recruit Technologies Co.,Ltd.

• WebKit

  Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11.4

  Воздействие. Посещение вредоносного веб-сайта могло привести к раскрытию текущего местоположения пользователя.

  Описание. Возникала проблема при разборе запросов геолокации. Проблема решена путем улучшенной проверки безопасности для источников запросов геолокации.

  Идентификатор CVE

  CVE-2016-1779: xisigr из Tencent's Xuanwu Lab(www.tencent.com).

• WebKit

  Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11.4

  Воздействие. Переход по созданному злоумышленником URL-адресу может привести к раскрытию конфиденциальной информации

  Описание. В перенаправлении URL существовала проблема, когда аудитор XSS использовался в режиме блокировки. Проблема устранена путем улучшенного перехода по URL.

  Идентификатор CVE

  CVE-2016-1864: Такеши Терада (Takeshi Terada) из Mitsui Bussan Secure Directions, Inc.

• История WebKit

  Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11.4

  Воздействие. Обработка вредоносного веб-содержимого могла привести к неожиданному сбою Safari.

  Описание. Проблема исчерпания ресурсов устранена путем улучшенной проверки ввода.

  Идентификатор CVE

  CVE-2016-1784: Муни Ли (Moony Li) и Джэк Тан (Jack Tang) из компании TrendMicro и 李普君 из 无声信息技术PKAV Team (PKAV.net)

• Загрузка страниц WebKit

  Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11.4

  Воздействие. Вредоносный веб-сайт может извлекать данные из различных источников.

  Описание. В обработчике кодировок символов существовала ошибка кэширования. Проблема устранена путем дополнительной проверки запросов.

  Идентификатор CVE

  CVE-2016-1785: анонимный исследователь

• Загрузка страниц WebKit

  Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11.4

  Воздействие. Посещение вредоносного веб-сайта может привести к подмене пользовательского интерфейса.

  Описание. Перенаправление ответов могло дать злоумышленнику возможность отобразить произвольный URL-адрес и прочитать кэшированное содержимое с сайта назначения. Проблема устранена путем улучшения отображения URL-адресов.

  Идентификатор CVE

  CVE-2016-1786: ma.la из LINE Corporation