Om säkerhetsinnehållet i Safari 9

Detta dokument beskriver säkerhetsinnehållet i Safari 9.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Läs mer om Apples produktsäkerhet på webbplatsen Apple produktsäkerhet.

Mer information om Apples PGP-nyckel för produktsäkerhet finns i artikeln Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Läs mer om Säkerhetsuppdateringar i artikeln Säkerhetsuppdateringar från Apple.

Safari 9

  • Safari

    Tillgängligt för: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 och OS X El Capitan 10.11

    Effekt: Om du besöker en webbplats med skadligt innehåll kan det leda till att användargränssnittet förfalskas

    Beskrivning: Flera användargränssnittsinkonsekvenser kan ha tillåtit en skadlig webbplats att visa en godtycklig webbadress. Problemen åtgärdades genom förbättrad logik för visning av webbadresser.

    CVE-ID

    CVE-2015-5764: Antonio Sanso (@asanso) på Adobe

    CVE-2015-5765: Ron Masas

    CVE-2015-5767: Krystian Kloskowski via Secunia, Masato Kinugawa

  • Safari-hämtningar

    Tillgängligt för: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 och OS X El Capitan 10.11

    Effekt: LaunchServices karantänhistorik kan avslöja surfhistorik

    Beskrivning: Tillgång till LaunchServices karantänhistorik kan ha avslöjat surfhistorik baserat på filhämtningar. Problemet åtgärdades genom förbättrad borttagning av karantänhistorik.

  • Safari Extensions

    Tillgängligt för: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 och OS X El Capitan 10.11

    Effekt: Lokal kommunikation mellan Safari-tillägg och tillhörande program kan utsättas för säkerhetsrisker

    Beskrivning: Lokal kommunikation mellan Safari-tillägg, till exempel lösenordshanterare och inbyggda tillhörande program kan utsättas för säkerhetsrisker av ett annat inbyggt program. Problemet åtgärdades genom en ny, behörig kommunikationskanal mellan Safari-tillägg och inbyggda program.

  • Safari Extensions

    Tillgängligt för: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 och OS X El Capitan 10.11

    Effekt: Safari-tillägg kan ersättas på disken

    Beskrivning: Ett verifierat och användarinstallerat Safari-tillägg kan ersättas på disken utan att användaren får en fråga. Det här problemet åtgärdades med förbättrad verifiering av tillägg.

    CVE-ID

    CVE-2015-5780: Ben Toms på macmule.com

  • Safari säker surfning

    Tillgängligt för: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 och OS X El Capitan 10.11

    Effekt: Navigering till en IP-adress för en känd skadlig webbplats kanske inte utlöser en säkerhetsvarning

    Beskrivning: Safaris funktion för säker surfning varnade inte användare vid besök på en känd skadlig webbplats via IP-adressen. Problemet åtgärdades genom förbättrad kontroll för skadliga webbplatser.

    Rahul M (@rahulmfg) på TagsDock

  • WebKit

    Tillgängligt för: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 och OS X El Capitan 10.11

    Effekt: Delvis inlästa bilder kan komma åt data från flera källor

    Beskrivning: Ett race-tillstånd förekom i verifieringen av bildkällor. Det här problemet åtgärdades med förbättrad verifiering av resurskällor.

    CVE-ID

    CVE-2015-5788: Apple

  • WebKit

    Tillgängligt för: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 och OS X El Capitan 10.11

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras

    Beskrivning: Flera minnesfel förekom i WebKit. Dessa problem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5789: Apple

    CVE-2015-5790: Apple

    CVE-2015-5791: Apple

    CVE-2015-5792: Apple

    CVE-2015-5793: Apple

    CVE-2015-5794: Apple

    CVE-2015-5795: Apple

    CVE-2015-5796: Apple

    CVE-2015-5797: Apple

    CVE-2015-5798: Apple

    CVE-2015-5799: Apple

    CVE-2015-5800: Apple

    CVE-2015-5801: Apple

    CVE-2015-5802: Apple

    CVE-2015-5803: Apple

    CVE-2015-5804: Apple

    CVE-2015-5805

    CVE-2015-5806: Apple

    CVE-2015-5807: Apple

    CVE-2015-5808: Joe Vennix

    CVE-2015-5809: Apple

    CVE-2015-5810: Apple

    CVE-2015-5811: Apple

    CVE-2015-5812: Apple

    CVE-2015-5813: Apple

    CVE-2015-5814: Apple

    CVE-2015-5815: Apple

    CVE-2015-5816: Apple

    CVE-2015-5817: Apple

    CVE-2015-5818: Apple

    CVE-2015-5819: Apple

    CVE-2015-5821: Apple

    CVE-2015-5822: Mark S. Miller på Google

    CVE-2015-5823: Apple

  • WebKit

    Tillgängligt för: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 och OS X El Capitan 10.11

    Effekt: En angripare kan skapa oönskade cookies för en webbplats

    Beskrivning: WebKit accepterade att flera cookies ställdes in i document.cookie API. Det här problemet åtgärdades genom förbättrad tolkning.

    CVE-ID

    CVE-2015-3801: Erling Ellingsen på Facebook

  • WebKit

    Tillgängligt för: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 och OS X El Capitan 10.11

    Effekt: Prestanda-API kan tillåta att en skadlig webbplats läcker surfhistorik, nätverksaktivitet och musrörelser

    Beskrivning: WebKits prestanda-API kunde leda till att en skadlig webbplats läckte surfhistorik, nätverksaktivitet och musrörelser genom att mäta tid. Problemet åtgärdades genom att begränsa tidsupplösningen.

    CVE-ID

    CVE-2015-5825: Yossi Oren med flera på Columbia Universitys Network Security Lab

  • WebKit

    Tillgängligt för: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 och OS X El Capitan 10.11

    Effekt: Besök på en webbplats med skadligt innehåll kan leda till oavsiktlig uppringning

    Beskrivning: Ett problem förekom med hanteringen av webbadresser med tel://, facetime:// och facetime-audio://. Problemet åtgärdades genom förbättrad URL-hantering.

    CVE-ID

    CVE-2015-5820: Guillaume Ross, Andrei Neculaesei

  • WebKit CSS

    Tillgängligt för: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 och OS X El Capitan 10.11

    Effekt: En webbplats med skadligt innehåll kan komma åt data från flera källor

    Beskrivning: Safari tillät stilmallar från flera källor att laddas med icke-CSS MIME-typer som kan användas för åtkomst till data från flera källor. Problemet åtgärdades genom begränsning av MIME-typer för stilmallar från flera källor.

    CVE-ID

    CVE-2015-5826: filedescriptior, Chris Evans

  • WebKit JavaScript Bindings

    Tillgängligt för: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 och OS X El Capitan 10.11

    Effekt: Objektreferenser kan bli läckta mellan isolerade ursprung i anpassade händelser, meddelandehändelser och pop-tillståndshändelser

    Beskrivning: Ett problem med läckta objekt bröt isoleringsgränsen mellan ursprung. Problemet åtgärdades genom förbättrad isolering mellan ursprung.

    CVE-ID

    CVE-2015-5827: Gildas

  • WebKits laddning av sidor

    Tillgängligt för: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 och OS X El Capitan 10.11

    Effekt: WebSockets kan kringgå policyn för blandat innehåll

    Beskrivning: Det förekom ett problem med otillräcklig policyefterlevnad vilket tillät WebSocket att ladda blandat innehåll. Problemet åtgärdades genom att utöka efterlevnaden av policyn för blandat innehåll till WebSocket.

    Kevin G. Jones på Higher Logic

  • WebKit-insticksfiler

    Tillgängligt för: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 och OS X El Capitan 10.11

    Effekt: Safari-insticksprogram kan skicka en HTTP-begäran utan att veta att begäran var omdirigerad

    Beskrivning: Safari-insticksfilernas API meddelade inte insticksfilerna att en omdirigering på serversidan skett. Detta kunde leda till oauktoriserade förfrågningar. Problemet åtgärdades genom förbättrad API-support.

    CVE-ID

    CVE-2015-5828: Lorenzo Fontana

FaceTime är inte tillgängligt i alla länder och regioner.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: