Om säkerhetsinnehållet i Safari 9

Detta dokument beskriver säkerhetsinnehållet i Safari 9.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Läs mer om Apples produktsäkerhet på webbplatsen Apple produktsäkerhet.

Mer information om Apples PGP-nyckel för produktsäkerhet finns i artikeln Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Läs mer om Säkerhetsuppdateringar i artikeln Säkerhetsuppdateringar från Apple.

Safari 9

• Safari

  Tillgängligt för: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 och OS X El Capitan 10.11

  Effekt: Om du besöker en webbplats med skadligt innehåll kan det leda till att användargränssnittet förfalskas

  Beskrivning: Flera användargränssnittsinkonsekvenser kan ha tillåtit en skadlig webbplats att visa en godtycklig webbadress. Problemen åtgärdades genom förbättrad logik för visning av webbadresser.

  CVE-ID

  CVE-2015-5764: Antonio Sanso (@asanso) på Adobe

  CVE-2015-5765: Ron Masas

  CVE-2015-5767: Krystian Kloskowski via Secunia, Masato Kinugawa

• Safari-hämtningar

  Tillgängligt för: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 och OS X El Capitan 10.11

  Effekt: LaunchServices karantänhistorik kan avslöja surfhistorik

  Beskrivning: Tillgång till LaunchServices karantänhistorik kan ha avslöjat surfhistorik baserat på filhämtningar. Problemet åtgärdades genom förbättrad borttagning av karantänhistorik.

• Safari Extensions

  Tillgängligt för: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 och OS X El Capitan 10.11

  Effekt: Lokal kommunikation mellan Safari-tillägg och tillhörande program kan utsättas för säkerhetsrisker

  Beskrivning: Lokal kommunikation mellan Safari-tillägg, till exempel lösenordshanterare och inbyggda tillhörande program kan utsättas för säkerhetsrisker av ett annat inbyggt program. Problemet åtgärdades genom en ny, behörig kommunikationskanal mellan Safari-tillägg och inbyggda program.

• Safari Extensions

  Tillgängligt för: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 och OS X El Capitan 10.11

  Effekt: Safari-tillägg kan ersättas på disken

  Beskrivning: Ett verifierat och användarinstallerat Safari-tillägg kan ersättas på disken utan att användaren får en fråga. Det här problemet åtgärdades med förbättrad verifiering av tillägg.

  CVE-ID

  CVE-2015-5780: Ben Toms på macmule.com

• Safari säker surfning

  Tillgängligt för: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 och OS X El Capitan 10.11

  Effekt: Navigering till en IP-adress för en känd skadlig webbplats kanske inte utlöser en säkerhetsvarning

  Beskrivning: Safaris funktion för säker surfning varnade inte användare vid besök på en känd skadlig webbplats via IP-adressen. Problemet åtgärdades genom förbättrad kontroll för skadliga webbplatser.

  Rahul M (@rahulmfg) på TagsDock

• WebKit

  Tillgängligt för: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 och OS X El Capitan 10.11

  Effekt: Delvis inlästa bilder kan komma åt data från flera källor

  Beskrivning: Ett race-tillstånd förekom i verifieringen av bildkällor. Det här problemet åtgärdades med förbättrad verifiering av resurskällor.

  CVE-ID

  CVE-2015-5788: Apple

• WebKit

  Tillgängligt för: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 och OS X El Capitan 10.11

  Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras

  Beskrivning: Flera minnesfel förekom i WebKit. Dessa problem åtgärdades genom förbättrad minneshantering.

  CVE-ID

  CVE-2015-5789: Apple

  CVE-2015-5790: Apple

  CVE-2015-5791: Apple

  CVE-2015-5792: Apple

  CVE-2015-5793: Apple

  CVE-2015-5794: Apple

  CVE-2015-5795: Apple

  CVE-2015-5796: Apple

  CVE-2015-5797: Apple

  CVE-2015-5798: Apple

  CVE-2015-5799: Apple

  CVE-2015-5800: Apple

  CVE-2015-5801: Apple

  CVE-2015-5802: Apple

  CVE-2015-5803: Apple

  CVE-2015-5804: Apple

  CVE-2015-5805

  CVE-2015-5806: Apple

  CVE-2015-5807: Apple

  CVE-2015-5808: Joe Vennix

  CVE-2015-5809: Apple

  CVE-2015-5810: Apple

  CVE-2015-5811: Apple

  CVE-2015-5812: Apple

  CVE-2015-5813: Apple

  CVE-2015-5814: Apple

  CVE-2015-5815: Apple

  CVE-2015-5816: Apple

  CVE-2015-5817: Apple

  CVE-2015-5818: Apple

  CVE-2015-5819: Apple

  CVE-2015-5821: Apple

  CVE-2015-5822: Mark S. Miller på Google

  CVE-2015-5823: Apple

• WebKit

  Tillgängligt för: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 och OS X El Capitan 10.11

  Effekt: En angripare kan skapa oönskade cookies för en webbplats

  Beskrivning: WebKit accepterade att flera cookies ställdes in i document.cookie API. Det här problemet åtgärdades genom förbättrad tolkning.

  CVE-ID

  CVE-2015-3801: Erling Ellingsen på Facebook

• WebKit

  Tillgängligt för: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 och OS X El Capitan 10.11

  Effekt: Prestanda-API kan tillåta att en skadlig webbplats läcker surfhistorik, nätverksaktivitet och musrörelser

  Beskrivning: WebKits prestanda-API kunde leda till att en skadlig webbplats läckte surfhistorik, nätverksaktivitet och musrörelser genom att mäta tid. Problemet åtgärdades genom att begränsa tidsupplösningen.

  CVE-ID

  CVE-2015-5825: Yossi Oren med flera på Columbia Universitys Network Security Lab

• WebKit

  Tillgängligt för: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 och OS X El Capitan 10.11

  Effekt: Besök på en webbplats med skadligt innehåll kan leda till oavsiktlig uppringning

  Beskrivning: Ett problem förekom med hanteringen av webbadresser med tel://, facetime:// och facetime-audio://. Problemet åtgärdades genom förbättrad URL-hantering.

  CVE-ID

  CVE-2015-5820: Guillaume Ross, Andrei Neculaesei

• WebKit CSS

  Tillgängligt för: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 och OS X El Capitan 10.11

  Effekt: En webbplats med skadligt innehåll kan komma åt data från flera källor

  Beskrivning: Safari tillät stilmallar från flera källor att laddas med icke-CSS MIME-typer som kan användas för åtkomst till data från flera källor. Problemet åtgärdades genom begränsning av MIME-typer för stilmallar från flera källor.

  CVE-ID

  CVE-2015-5826: filedescriptior, Chris Evans

• WebKit JavaScript Bindings

  Tillgängligt för: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 och OS X El Capitan 10.11

  Effekt: Objektreferenser kan bli läckta mellan isolerade ursprung i anpassade händelser, meddelandehändelser och pop-tillståndshändelser

  Beskrivning: Ett problem med läckta objekt bröt isoleringsgränsen mellan ursprung. Problemet åtgärdades genom förbättrad isolering mellan ursprung.

  CVE-ID

  CVE-2015-5827: Gildas

• WebKits laddning av sidor

  Tillgängligt för: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 och OS X El Capitan 10.11

  Effekt: WebSockets kan kringgå policyn för blandat innehåll

  Beskrivning: Det förekom ett problem med otillräcklig policyefterlevnad vilket tillät WebSocket att ladda blandat innehåll. Problemet åtgärdades genom att utöka efterlevnaden av policyn för blandat innehåll till WebSocket.

  Kevin G. Jones på Higher Logic

• WebKit-insticksfiler

  Tillgängligt för: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 och OS X El Capitan 10.11

  Effekt: Safari-insticksprogram kan skicka en HTTP-begäran utan att veta att begäran var omdirigerad

  Beskrivning: Safari-insticksfilernas API meddelade inte insticksfilerna att en omdirigering på serversidan skett. Detta kunde leda till oauktoriserade förfrågningar. Problemet åtgärdades genom förbättrad API-support.

  CVE-ID

  CVE-2015-5828: Lorenzo Fontana

FaceTime är inte tillgängligt i alla länder och regioner.