Проблемы безопасности, устраняемые в Safari 9

В настоящем документе описываются проблемы безопасности, устраняемые в Safari 9.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах в системе безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на веб-сайте Безопасность продуктов Apple.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

Safari 9

  • Safari

    Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11

    Воздействие. Посещение вредоносного веб-сайта может привести к подмене пользовательского интерфейса.

    Описание. Ряд несоответствий в пользовательском интерфейсе мог привести к открытию произвольного URL-адреса на вредоносном веб-сайте. Проблемы устранены путем усовершенствования логики открытия URL-адресов.

    Идентификатор CVE

    CVE-2015-5764: Антонио Сансо (Antonio Sanso, @asanso), Adobe

    CVE-2015-5765: Рон Масас (Ron Masas)

    CVE-2015-5767: Кристиан Клосковски (Krystian Kloskowski), Secunia; Масато Кинугава (Masato Kinugawa)

  • Загрузки Safari

    Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11

    Воздействие. История карантина LaunchServices может показывать историю просмотра веб-страниц

    Описание. Доступ к истории карантина LaunchServices мог показывать историю просмотра веб-страниц на основе загрузок файлов. Эта проблема решена путем усовершенствования удаления истории карантина.

  • Расширения Safari

    Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11

    Воздействие. Локальный обмен данными между расширениями Safari и программами-компаньонами может быть скомпрометирован

    Описание. Локальный обмен данными между расширениями Safari, такими как менеджеры паролей, и их собственными программами-компаньонами, может быть скомпрометирован другой собственной программой. Эта проблема решена путем создания нового, аутентифицированного канала обмена данными между расширениями Safari и программами-компаньонами.

  • Расширения Safari

    Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11

    Воздействие. Расширения Safari могут заменяться на диске

    Описание. Проверенное, установленное пользователем расширение Safari может заменяться на диске без уведомления пользователя. Проблема устранена путем усовершенствования проверки расширений.

    Идентификатор CVE

    CVE-2015-5780: Бен Томс (Ben Toms) из macmule.com

  • Просмотр страниц Safari в безопасном режиме

    Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11

    Воздействие. При переходе на заведомо вредоносный веб-сайт с использованием IP-адреса может не отобразиться предупреждение системы безопасности.

    Описание. Функция просмотра в безопасном режиме Safari не уведомляла пользователей о посещении заведомо вредоносных веб-сайтов, если переход осуществлялся с использованием IP-адреса. Проблема решена с помощью усовершенствованной функции выявления вредоносных веб-сайтов.

    Рауль М (Rahul M, @rahulmfg) из TagsDock

  • WebKit

    Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11

    Воздействие. Через частично загруженные изображения могут просачиваться данные из разных источников

    Описание. При проверке источников изображений существовало состояние состязания. Проблема устранена путем усовершенствования проверки источников ресурсов.

    Идентификатор CVE

    CVE-2015-5788: Apple

  • WebKit

    Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11

    Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода.

    Описание. В библиотеке WebKit возникало несколько ошибок, приводящих к повреждению данных в памяти. Проблемы устранены путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2015-5789: Apple

    CVE-2015-5790: Apple

    CVE-2015-5791: Apple

    CVE-2015-5792: Apple

    CVE-2015-5793: Apple

    CVE-2015-5794: Apple

    CVE-2015-5795: Apple

    CVE-2015-5796: Apple

    CVE-2015-5797: Apple

    CVE-2015-5798: Apple

    CVE-2015-5799: Apple

    CVE-2015-5800: Apple

    CVE-2015-5801: Apple

    CVE-2015-5802: Apple

    CVE-2015-5803: Apple

    CVE-2015-5804: Apple

    CVE-2015-5805

    CVE-2015-5806: Apple

    CVE-2015-5807: Apple

    CVE-2015-5808: Джо Венникс (Joe Vennix)

    CVE-2015-5809: Apple

    CVE-2015-5810: Apple

    CVE-2015-5811: Apple

    CVE-2015-5812: Apple

    CVE-2015-5813: Apple

    CVE-2015-5814: Apple

    CVE-2015-5815: Apple

    CVE-2015-5816: Apple

    CVE-2015-5817: Apple

    CVE-2015-5818: Apple

    CVE-2015-5819: Apple

    CVE-2015-5821: Apple

    CVE-2015-5822: Марк Миллер (Mark S. Miller), Google

    CVE-2015-5823: Apple

  • WebKit

    Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11

    Воздействие. Злоумышленник может получить возможность создавать непредусмотренные файлы cookie для веб-сайта.

    Описание. В интерфейсе API document.cookie модуля WebKit можно было разрешить получение нескольких файлов cookie. Проблема устранена путем усовершенствования анализа.

    Идентификатор CVE

    CVE-2015-3801: Эрлинг Эллингсен (Erling Ellingsen), компания Facebook

  • WebKit

    Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11

    Воздействие. Интерфейс API производительности может предоставлять вредоносному веб-сайту доступ к истории просмотра, сведениям о действиях в сети и движениях мыши.

    Описание. Интерфейс API производительности WebKit может предоставлять вредоносному веб-сайту доступ к истории просмотра, сведениям о действиях в сети и движениях мыши посредством измерения времени. Проблема устранена путем ограничения временных разрешений.

    Идентификатор CVE

    CVE-2015-5825: Йосси Орен (Yossi Oren) и группа исследователей, лаборатория сетевой безопасности, Колумбийский университет

  • WebKit

    Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11

    Воздействие. Посещение вредоносного веб-сайта может привести к непреднамеренному набору номеров.

    Описание. Обработка URL-адресов с префиксами tel://, facetime:// и facetime-audio:// выполнялась с ошибками. Проблема устранена путем усовершенствования обработки URL-адресов.

    Идентификатор CVE

    CVE-2015-5820: Гильом Росс (Guillaume Ross), Андрей Некулэсей (Andrei Neculaesei)

  • WebKit CSS

    Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11

    Воздействие. Вредоносный веб-сайт может извлекать данные из различных источников.

    Описание. Браузер Safari разрешал загрузку таблиц стилей из разных источников с типами MIME, отличающимися от CSS, что создавало опасность кражи данных из этих источников. Проблема устранена путем ограничения типов MIME для таблиц стилей из разных источников.

    Идентификатор CVE

    CVE-2015-5826: filedescriptior, Крис Эванс (Chris Evans)

  • Привязки JavaScript в WebKit

    Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11

    Воздействие. Случайные события, сообщения и события popState могут вызывать утечку ссылок на объект из изолированных источников.

    Описание. Проблема утечки ссылок нарушала изолированные границы источников. Проблема устранена путем усовершенствования изоляции источников.

    Идентификатор CVE

    CVE-2015-5827: Gildas

  • Загрузка страниц WebKit

    Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11

    Воздействие. WebSockets может обходить соблюдение политики в отношении смешанного содержимого

    Описание. Проблема недостаточного соблюдения политики позволяла WebSockets загружать смешанное содержимое. Проблема устранена путем расширения правил в отношении смешанного содержимого на WebSockets.

    Кевин Джонс (Kevin G. Jones), Higher Logic

  • Плагины WebKit

    Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11

    Воздействие. Плагины Safari могут отправлять HTTP-запрос, не имея сведений о перенаправлении запроса

    Описание. Интерфейс API плагинов Safari не сообщал плагинам о том, что имело место перенаправление на стороне сервера. Это могло привести к неавторизованным запросам. Проблема устранена путем улучшения поддержки интерфейса API.

    Идентификатор CVE

    CVE-2015-5828: Лоренцо Фонтана (Lorenzo Fontana)

Служба FaceTime доступна не во всех странах и регионах.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: