Сведения о проблемах безопасности, устраненных в браузере Safari 9.1

В этом документе описываются проблемы безопасности, устраненные в браузере Safari 9.1.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на веб-сайте Безопасность продуктов Apple.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

Safari 9.1

  • Safari

    Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11.4

    Воздействие. Посещение вредоносного веб-сайта может привести к подмене пользовательского интерфейса.

    Описание. Существовала ошибка, вследствие которой текст диалогового окна включал текст, предоставленный веб-страницей. Проблема решена путем исключения данного текста.

    Идентификатор CVE

    CVE-2009-2197: Алексиос Факос (Alexios Fakos) из n.runs AG

  • Загрузки Safari

    Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11.4

    Воздействие. Посещение вредоносной веб-страницы могло привести к системному отказу в обслуживании.

    Описание. В обработчике определенных типов файлов существовала проблема недостаточной проверки ввода. Проблема устранена введением дополнительных проверок в ходе распаковки файлов.

    Идентификатор CVE

    CVE-2016-1771: Расс Кокс (Russ Cox)

  • Популярные сайты в Safari

    Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11.4

    Воздействие. Веб-сайт мог отслеживать конфиденциальные данные пользователя.

    Описание. На странице популярных сайтов существовала проблема сохранения файлов cookie. Эта проблема устранена путем усовершенствования управления состоянием.

    Идентификатор CVE

    CVE-2016-1772: WoofWagly

  • WebKit

    Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11.4

    Воздействие. Веб-сайт мог отслеживать конфиденциальные данные пользователя.

    Описание. Существовала ошибка в обработчике URL-адресов вложений. Проблема устранена путем улучшенной обработки URL-ссылок.

    Идентификатор CVE

    CVE-2016-1781: Деватта Ахаве (Devdatta Akhawe) из компании Dropbox Inc.

  • WebKit

    Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11.4

    Воздействие. Обработка вредоносного веб-содержимого может привести к выполнению произвольного кода

    Описание. Ряд ошибок, вызывавших повреждение памяти, устранен путем улучшения процедур работы с памятью.

    Идентификатор CVE

    CVE-2016-1778: пользователь 0x1byte, работающий по программе Zero Day Initiative (ZDI) компании Trend Micro, и Янг Жао (Yang Zhao) из CM Security

    CVE-2016-1783: Михай Парпарита (Mihai Parparita) из компании Google

  • WebKit

    Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11.4

    Воздействие. Вредоносный веб-сайт мог получить доступ к портам с ограниченным доступом на произвольных серверах.

    Описание. Проблема перенаправления портов устранена введением дополнительной проверки портов.

    Идентификатор CVE

    CVE-2016-1782: Мунэаки Нисимура (Muneaki Nishimura, nishimunea) из компании Recruit Technologies Co.,Ltd.

  • WebKit

    Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11.4

    Воздействие. Посещение вредоносного веб-сайта могло привести к раскрытию текущего местоположения пользователя.

    Описание. Возникала проблема при разборе запросов геолокации. Проблема решена путем улучшенной проверки безопасности для источников запросов геолокации.

    Идентификатор CVE

    CVE-2016-1779: xisigr из Tencent's Xuanwu Lab(www.tencent.com).

  • WebKit

    Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11.4

    Воздействие. Переход по созданному злоумышленником URL-адресу может привести к раскрытию конфиденциальной информации

    Описание. В перенаправлении URL существовала проблема, когда аудитор XSS использовался в режиме блокировки. Проблема устранена путем улучшенного перехода по URL.

    Идентификатор CVE

    CVE-2016-1864: Такеши Терада (Takeshi Terada) из Mitsui Bussan Secure Directions, Inc.

  • История WebKit

    Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11.4

    Воздействие. Обработка вредоносного веб-содержимого могла привести к неожиданному сбою Safari.

    Описание. Проблема исчерпания ресурсов устранена путем улучшенной проверки ввода.

    Идентификатор CVE

    CVE-2016-1784: Муни Ли (Moony Li) и Джэк Тан (Jack Tang) из компании TrendMicro и 李普君 из 无声信息技术PKAV Team (PKAV.net)

  • Загрузка страниц WebKit

    Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11.4

    Воздействие. Вредоносный веб-сайт может извлекать данные из различных источников.

    Описание. В обработчике кодировок символов существовала ошибка кэширования. Проблема устранена путем дополнительной проверки запросов.

    Идентификатор CVE

    CVE-2016-1785: анонимный исследователь

  • Загрузка страниц WebKit

    Доступно для OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 и OS X El Capitan 10.11.4

    Воздействие. Посещение вредоносного веб-сайта может привести к подмене пользовательского интерфейса.

    Описание. Перенаправление ответов могло дать злоумышленнику возможность отобразить произвольный URL-адрес и прочитать кэшированное содержимое с сайта назначения. Проблема устранена путем улучшения отображения URL-адресов.

    Идентификатор CVE

    CVE-2016-1786: ma.la из LINE Corporation

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: