Om säkerhetsinnehållet i Safari 8.0.8, Safari 7.1.8 och Safari 6.2.8

Det här dokument beskriver säkerhetsinnehållet i Safari 8.0.8, Safari 7.1.8 och Safari 6.2.8.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Läs mer om Apples produktsäkerhet på webbplatsen Apple produktsäkerhet.

Mer information om Apples PGP-nyckel för produktsäkerhet finns i artikeln Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Läs mer om Säkerhetsuppdateringar i artikeln Säkerhetsuppdateringar från Apple.

Safari 8.0.8, Safari 7.1.8 och Safari 6.2.8

• Programmet Safari

  Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 och OS X Yosemite 10.10.4

  Effekt: Om du besöker en webbplats med skadligt innehåll kan det leda till att användargränssnittet förfalskas

  Beskrivning: En webbplats med skadligt innehåll kan öppna en annan webbplats som begär användarinmatning utan att användaren kan avgöra var begäran kom från. Problemet åtgärdades genom att visa användaren uppmaningens ursprung.

  CVE-ID

  CVE-2015-3729: Code Audit Labs på VulnHunt.com

• WebKit

  Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 och OS X Yosemite 10.10.4

  Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras

  Beskrivning: Flera minnesfel förekom i WebKit. Dessa problem åtgärdades genom förbättrad minneshantering.

  CVE-ID

  CVE-2015-3730: Apple

  CVE-2015-3731: Apple

  CVE-2015-3732: Apple

  CVE-2015-3733: Apple

  CVE-2015-3734: Apple

  CVE-2015-3735: Apple

  CVE-2015-3736: Apple

  CVE-2015-3737: Apple

  CVE-2015-3738: Apple

  CVE-2015-3739: Apple

  CVE-2015-3740: Apple

  CVE-2015-3741: Apple

  CVE-2015-3742: Apple

  CVE-2015-3743: Apple

  CVE-2015-3744: Apple

  CVE-2015-3745: Apple

  CVE-2015-3746: Apple

  CVE-2015-3747: Apple

  CVE-2015-3748: Apple

  CVE-2015-3749: Apple

• WebKit

  Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 och OS X Yosemite 10.10.4

  Effekt: En webbplats med skadligt innehåll kan utlösa plaintext-förfrågningar till ett ursprung med HTTP Strict Transport Security

  Beskrivning: Det förekom ett problem med att Content Security Policy-rapportförfrågningar inte tog hänsyn till HTTP Strict Transport Security. Problemet åtgärdades genom förbättrad efterlevnad av HTTP Strict Transport Security.

  CVE-ID

  CVE-2015-3750: Muneaki Nishimura (nishimunea)

• WebKit

  Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 och OS X Yosemite 10.10.4

  Effekt: Bildinläsning kan bryta mot en webbplats Content Security Policy-direktiv

  Beskrivning: Det förekom ett problem med webbplatser med videokontroller som laddade bilder som var inbäddade i objektelement i strid mot webbplatsens Content Security Policy-direktiv. Problemet åtgärdades genom förbättrad efterlevnad av Content Security Policy.

  CVE-ID

  CVE-2015-3751: Muneaki Nishimura (nishimunea)

• WebKit

  Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 och OS X Yosemite 10.10.4

  Effekt: Content Security Policy-rapportförfrågningar kan läcka cookies

  Beskrivning: Två fel förekom för hur cookies lades till i Content Security Policy-rapportförfrågningar. Cookies skickades i rapportförfrågningar från flera källor i strid mot standardinställningen. Cookies som ställts in under vanlig surfning skickades vid privat surfning. Dessa problem åtgärdades genom förbättrad hantering av cookies.

  CVE-ID

  CVE-2015-3752: Muneaki Nishimura (nishimunea)

• WebKit Canvas

  Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 och OS X Yosemite 10.10.4

  Effekt: En webbplats med skadligt innehåll kan komma åt bilddata från flera källor

  Beskrivning: Bilder som hämtas via webbadresser som omdirigerar till en data:image-resurs kan kommas åt från flera källor. Problemet åtgärdades genom förbättrad canvas taint-spårning.

  CVE-ID

  CVE-2015-3753: Antonio Sanso och Damien Antipa på Adobe

• WebKits laddning av sidor

  Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 och OS X Yosemite 10.10.4

  Effekt: Cachelagrat autentiseringstillstånd kan avslöja surfhistorik i läget Privat surfning

  Beskrivning: Ett problem fanns med cachelagring av HTTP-autentisering. Användarnamn och lösenord som angavs i läget Privat surfning fördes över till vanlig surfning och kunde avslöja en del av användarens historik i läget Privat surfning. Problemet åtgärdades genom förbättrad begränsning för cachelagring.

  CVE-ID

  CVE-2015-3754: Dongsung Kim (@kid1ng)

• WebKit Process Model

  Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 och OS X Yosemite 10.10.4

  Effekt: Om du besöker en webbplats med skadligt innehåll kan det leda till att användargränssnittet förfalskas

  Beskrivning: Navigering till en felformaterad webbadress kunde göra det möjligt för en webbplats med skadligt innehåll att visa en opålitlig webbadress. Problemet åtgärdades genom förbättrad URL-hantering.

  CVE-ID

  CVE-2015-3755: xisigr på Tencents Xuanwu Lab