Проблемы безопасности, устраняемые Safari 9.1.2

В настоящем документе описываются проблемы безопасности, устраняемые Safari 9.1.2.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов Apple не раскрывает, не обсуждает и не подтверждает наличие проблем безопасности, пока не будет завершено расследование и не станут доступны исправления или новые выпуски. Недавние выпуски перечислены на странице Обновления системы безопасности Apple.

Дополнительные сведения о безопасности см. на странице Безопасность продуктов Apple. Можно шифровать обмен данными с Apple с помощью PGP-ключа безопасности продуктов Apple.

В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.

Safari 9.1.2

WebKit

Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11.6

Воздействие. Посещение вредоносного веб-сайта может привести к выполнению произвольного кода.

Описание. Ряд проблем повреждения памяти устранен путем улучшенной обработки памяти.

CVE-2016-4589: Тунбо Ло (Tongbo Luo) и Бо Цюй (Bo Qu) из Palo Alto Networks

CVE-2016-4622: Сэмюэл Гросс (Samuel Gross), сотрудничающий с компанией Trend Micro по программе Zero Day Initiative

CVE-2016-4623: компания Apple

CVE-2016-4624: компания Apple

CVE-2016-4586: компания Apple

WebKit

Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11.6

Воздействие. Посещение вредоносного веб-сайта могло приводить к раскрытию данных изображений с другого веб-сайта.

Описание. При обработке SVG возникала проблема со временем. Проблема устранена путем улучшенной проверки.

CVE-2016-4583: Роланд Крак (Roeland Krak)

WebKit

Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11.6

Воздействие. Посещение вредоносной веб-страницы могло привести к системному отказу в обслуживании.

Описание. Проблема потребления памяти устранена путем улучшенной обработки памяти.

CVE-2016-4592: Михаил (Mikhail)

WebKit

Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11.6

Воздействие. Посещение вредоносной веб-страницы могло привести к утечке важных данных.

Описание. При обработке переменной местоположения возникала проблема с разрешениями. Проблема решена введением дополнительных проверок владельца.

CVE-2016-4591: ma.la из LINE Corporation

WebKit

Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11.6

Воздействие. Посещение вредоносного веб-сайта может привести к подмене пользовательского интерфейса.

Описание. При разборе строки about: URLs возникала проблема наследования источника. Проблема устранена путем улучшенной проверки источников безопасности.

CVE-2016-4590: xisigr из Tencent's Xuanwu Lab(www.tencent.com).

Привязки JavaScript в WebKit

Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11.6

Воздействие. Посещение вредоносного веб-сайта могла привести к выполнению сценария в контексте службы, отличной от HTTP

Описание. В Safari возникала проблема выполнения сценариев между сайтами и протоколами (XPXSS) при отправке форм в службы, отличные от HTTP и совместимые с HTTP/0.9. Эта проблема устранена путем отключения сценариев и подключаемых модулей в ресурсах, загружаемых по протоколу HTTP/0.9.

CVE-2016-4651: Obscure

Загрузка страниц WebKit

Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11.6

Воздействие. Вредоносный веб-сайт может извлекать данные из различных источников.

Описание. При перенаправлении URL в Safari возникала возможность выполнения сценариев между сайтами. Проблема устранена путем улучшенной проверки URL при перенаправлении.

CVE-2016-4585: Такеши Терада (Takeshi Terada) из Mitsui Bussan Secure Directions, Inc. (www.mbsd.jp)

Загрузка страниц WebKit

Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11.6

Воздействие. Посещение вредоносного веб-сайта может привести к выполнению произвольного кода.

Описание. Ряд проблем повреждения памяти устранен путем улучшенной обработки памяти.

CVE-2016-4584: Крис Вьену (Chris Vienneau)