Проблемы безопасности, устраняемые Safari 9.1.2
В настоящем документе описываются проблемы безопасности, устраняемые Safari 9.1.2.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов Apple не раскрывает, не обсуждает и не подтверждает наличие проблем безопасности, пока не будет завершено расследование и не станут доступны исправления или новые выпуски. Недавние выпуски перечислены на странице Обновления системы безопасности Apple.
Дополнительные сведения о безопасности см. на странице Безопасность продуктов Apple. Можно шифровать обмен данными с Apple с помощью PGP-ключа безопасности продуктов Apple.
В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.
Safari 9.1.2
WebKit
Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11.6
Воздействие. Посещение вредоносного веб-сайта может привести к выполнению произвольного кода.
Описание. Ряд проблем повреждения памяти устранен путем улучшенной обработки памяти.
CVE-2016-4589: Тунбо Ло (Tongbo Luo) и Бо Цюй (Bo Qu) из Palo Alto Networks
CVE-2016-4622: Сэмюэл Гросс (Samuel Gross), сотрудничающий с компанией Trend Micro по программе Zero Day Initiative
CVE-2016-4623: компания Apple
CVE-2016-4624: компания Apple
CVE-2016-4586: компания Apple
WebKit
Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11.6
Воздействие. Посещение вредоносного веб-сайта могло приводить к раскрытию данных изображений с другого веб-сайта.
Описание. При обработке SVG возникала проблема со временем. Проблема устранена путем улучшенной проверки.
CVE-2016-4583: Роланд Крак (Roeland Krak)
WebKit
Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11.6
Воздействие. Посещение вредоносной веб-страницы могло привести к системному отказу в обслуживании.
Описание. Проблема потребления памяти устранена путем улучшенной обработки памяти.
CVE-2016-4592: Михаил (Mikhail)
WebKit
Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11.6
Воздействие. Посещение вредоносной веб-страницы могло привести к утечке важных данных.
Описание. При обработке переменной местоположения возникала проблема с разрешениями. Проблема решена введением дополнительных проверок владельца.
CVE-2016-4591: ma.la из LINE Corporation
WebKit
Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11.6
Воздействие. Посещение вредоносного веб-сайта может привести к подмене пользовательского интерфейса.
Описание. При разборе строки about: URLs возникала проблема наследования источника. Проблема устранена путем улучшенной проверки источников безопасности.
CVE-2016-4590: xisigr из Tencent's Xuanwu Lab(www.tencent.com).
Привязки JavaScript в WebKit
Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11.6
Воздействие. Посещение вредоносного веб-сайта могла привести к выполнению сценария в контексте службы, отличной от HTTP
Описание. В Safari возникала проблема выполнения сценариев между сайтами и протоколами (XPXSS) при отправке форм в службы, отличные от HTTP и совместимые с HTTP/0.9. Эта проблема устранена путем отключения сценариев и подключаемых модулей в ресурсах, загружаемых по протоколу HTTP/0.9.
CVE-2016-4651: Obscure
Загрузка страниц WebKit
Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11.6
Воздействие. Вредоносный веб-сайт может извлекать данные из различных источников.
Описание. При перенаправлении URL в Safari возникала возможность выполнения сценариев между сайтами. Проблема устранена путем улучшенной проверки URL при перенаправлении.
CVE-2016-4585: Такеши Терада (Takeshi Terada) из Mitsui Bussan Secure Directions, Inc. (www.mbsd.jp)
Загрузка страниц WebKit
Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11.6
Воздействие. Посещение вредоносного веб-сайта может привести к выполнению произвольного кода.
Описание. Ряд проблем повреждения памяти устранен путем улучшенной обработки памяти.
CVE-2016-4584: Крис Вьену (Chris Vienneau)
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.