Сведения о проблемах безопасности, устраняемых обновлениями Safari 8.0.8, Safari 7.1.8 и Safari 6.2.8

В этом документе описываются проблемы безопасности, устраненные в Safari 8.0.8, Safari 7.1.8 и Safari 6.2.8.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах в системе безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на веб-сайте Безопасность продуктов Apple.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

Safari 8.0.8, Safari 7.1.8 и Safari 6.2.8

  • Программа Safari

    Доступно для: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 и OS X Yosemite 10.10.4

    Воздействие. Посещение вредоносного веб-сайта может привести к подмене пользовательского интерфейса.

    Описание. Вредоносный веб-сайт мог отобразить запрос на ввод пользовательских данных от постороннего сайта, при этом пользователь не мог определить источник запроса. Проблема устранена путем отображения источника запроса для пользователя.

    Идентификатор CVE

    CVE-2015-3729: Code Audit Labs на VulnHunt.com

  • WebKit

    Доступно для: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 и OS X Yosemite 10.10.4

    Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода.

    Описание. В библиотеке WebKit возникало несколько ошибок, приводящих к повреждению данных в памяти. Проблемы устранены путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2015-3730: Apple

    CVE-2015-3731: Apple

    CVE-2015-3732: Apple

    CVE-2015-3733: Apple

    CVE-2015-3734: Apple

    CVE-2015-3735: Apple

    CVE-2015-3736: Apple

    CVE-2015-3737: Apple

    CVE-2015-3738: Apple

    CVE-2015-3739: Apple

    CVE-2015-3740: Apple

    CVE-2015-3741: Apple

    CVE-2015-3742: Apple

    CVE-2015-3743: Apple

    CVE-2015-3744: Apple

    CVE-2015-3745: Apple

    CVE-2015-3746: Apple

    CVE-2015-3747: Apple

    CVE-2015-3748: Apple

    CVE-2015-3749: Apple

  • WebKit

    Доступно для: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 и OS X Yosemite 10.10.4

    Воздействие. Вредоносный веб-сайт может инициировать запросы в виде простого текста к домену с политикой безопасности HTTP Strict Transport Security.

    Описание. Существовала ошибка, по причине которой запросы отчетов Content Security Policy не удовлетворяли политике HTTP Strict Transport Security. Проблема устранена путем улучшения соответствия политике HTTP Strict Transport Security.

    Идентификатор CVE

    CVE-2015-3750: Мунеаки Нишимура (Muneaki Nishimura) (nishimunea)

  • WebKit

    Доступно для: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 и OS X Yosemite 10.10.4

    Воздействие. При загрузке изображений могло произойти нарушение директивы Content Security Policy.

    Описание. Существовала ошибка, по причине которой веб-сайты с элементами управления видео могли загружать изображения, вложенные в элементы объекта, в нарушение директивы Content Security Policy данного веб-сайта. Проблема устранена путем улучшения соответствия политике Content Security Policy.

    Идентификатор CVE

    CVE-2015-3751: Мунеаки Нишимура (Muneaki Nishimura) (nishimunea)

  • WebKit

    Доступно для: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 и OS X Yosemite 10.10.4

    Воздействие: запросы отчетов Content Security Policy могли раскрывать файлы cookie.

    Описание. В механизме добавления файлов cookie в запросы отчетов Content Security Policy существовало две ошибки. Файлы cookie отправлялись в междоменных запросах отчетов в нарушение стандарта. Файлы cookie, заданные в режиме обычного просмотра, отправлялись в режиме частного доступа. Эти проблемы устранены путем улучшенной обработки файлов cookie.

    Идентификатор CVE

    CVE-2015-3752: Мунеаки Нишимура (Muneaki Nishimura) (nishimunea)

  • WebKit Canvas

    Доступно для: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 и OS X Yosemite 10.10.4

    Воздействие. Вредоносный веб-сайт мог пропускать изображения из других доменов.

    Описание. Изображения, извлекаемые по URL-ссылкам с перенаправлением на ресурс data:image, могли проходить из другого домена. Проблема была устранена путем улучшенного отслеживания флагов Canvas.

    Идентификатор CVE

    CVE-2015-3753: Антонио Сансо (Antonio Sanso) и Дамиен Антипа (Damien Antipa) из компании Adobe

  • Загрузка страниц WebKit

    Доступно для: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 и OS X Yosemite 10.10.4

    Воздействие: кэшированное состояние аутентификации могло раскрыть историю частного доступа.

    Описание. Ошибка находилась в механизме кэширования HTTP-аутентификации. Реквизиты, указанные в режиме частного доступа, переносились в обычный режим, при этом происходило частичное раскрытие истории частного доступа пользователя. Проблема устранена путем исправления ограничений механизма кэширования.

    Идентификатор CVE

    CVE-2015-3754: Донсун Ким (Dongsung Kim) (@kid1ng)

  • Модель процессов WebKit

    Доступно для: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 и OS X Yosemite 10.10.4

    Воздействие. Посещение вредоносного веб-сайта может привести к подмене пользовательского интерфейса.

    Описание. Переход по специально сформированной URL-ссылке мог позволить вредоносному сайту отображать произвольный URL-адрес. Проблема устранена путем улучшенной обработки URL-ссылок.

    Идентификатор CVE

    CVE-2015-3755: xisigr из организации Tencent's Xuanwu Lab

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: