Сведения о проблемах безопасности, устраняемых обновлениями Safari 8.0.7, Safari 7.1.7 и Safari 6.2.7

В этом документе описываются проблемы системы безопасности, устраненные в Safari 8.0.7, Safari 7.1.7 и Safari 6.2.7.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах в системе безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на веб-сайте Безопасность продуктов Apple.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

Safari 8.0.7, Safari 7.1.7 и Safari 6.2.7

  • WebKit

    Доступно для: ОС OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 и OS X Yosemite 10.10.3

    Воздействие. Вредоносный веб-сайт может получить доступ к базам данных WebSQL других веб-сайтов

    Описание. При проверке авторизации для переименования таблиц WebSQL возникала проблема, в результате которой вредоносный веб-сайт мог получить доступ к базам данных других веб-сайтов. Проблема устранена путем улучшенной проверки авторизации.

    Идентификатор CVE

    CVE-2015-3727: Петер Рутенбар (Peter Rutenbar), сотрудничающий с компанией HP по программе Zero Day Initiative

  • Загрузка страниц WebKit

    Доступно для: ОС OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 и OS X Yosemite 10.10.3

    Воздействие. Посещение вредоносного веб-сайта может привести к использованию учетной записи в мошеннических целях.

    Описание. Имела место проблема, в результате которой веб-браузер Safari сохранял заголовок исходного запроса для перенаправлений между разными источниками, благодаря чему вредоносные веб-сайты могли обходить средства защиты CSRF. Проблема устранена путем улучшенной обработки запросов на перенаправление.

    Идентификатор CVE

    CVE-2015-3658: Брэд Хилл (Brad Hill) из Facebook

  • WebKit PDF

    Доступно для: ОС OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 и OS X Yosemite 10.10.3

    Воздействие. Переход по вредоносной ссылке в файле PDF, встроенном в веб-страницу, мог приводить к похищению файла cookie или утечке данных пользователя

    Описание. В ссылках, встроенных в PDF, обнаружена проблема, в результате которой в контексте размещающей веб-страницы мог выполняться код JavaScript. Эта проблема решена путем ограничения поддержки ссылок JavaScript.

    Идентификатор CVE

    CVE-2015-3660: компания Apple

  • Хранилище WebKit

    Доступно для: ОС OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 и OS X Yosemite 10.10.3

    Воздействие. Посещение вредоносной веб-страницы может привести к неожиданному завершению работы программы или выполнению произвольного кода.

    Описание. В средстве авторизации SQLite возникала проблема недостаточного сравнения, в результате которой допускался вызов произвольных функций SQL. Проблема устранена путем улучшенной проверки авторизации.

    Идентификатор CVE

    CVE-2015-3659: Петер Рутенбар (Peter Rutenbar), сотрудничающий с компанией HP по программе Zero Day Initiative

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: