เกี่ยวกับเนื้อหาด้านความปลอดภัยของ Safari 8.0.7, Safari 7.1.7 และ Safari 6.2.7

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ Safari 8.0.7, Safari 7.1.7 และ Safari 6.2.7

เพื่อเป็นการป้องกันลูกค้าของเรา Apple จะไม่เปิดเผย อภิปรายหรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียด และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการรักษาความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเกี่ยวกับคีย์ PGP เพื่อความปลอดภัยของผลิตภัณฑ์ Apple โปรดดู วิธีการใช้คีย์ PGP เพื่อความปลอดภัยของผลิตภัณฑ์ Apple

เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงข้อมูลเพิ่มเติมของช่องโหว่ต่างๆ

หากต้องการเรียนรู้เกี่ยวกับการอัพเดทความปลอดภัยอื่นๆ โปรดดู การอัพเดทความปลอดภัยของ Apple

Safari 8.0.7, Safari 7.1.7 และ Safari 6.2.7

  • WebKit

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 และ OS X Yosemite v10.10.3

    ผลกระทบ: เว็บไซต์ที่ออกแบบมาที่เป็นอันตรายสามารถเข้าถึงฐานข้อมูล WebSQL ของเว็บไซต์อื่นๆ ได้

    คำอธิบาย: มีปัญหาในการตรวจสอบการอนุญาตสำหรับการเปลี่ยนชื่อตาราง WebSQL ซึ่งอาจอนุญาตให้เว็บไซต์ที่ออกแบบมาที่เป็นอันตรายสามารถเข้าถึงฐานข้อมูลที่เป็นของเว็บไซต์อื่นๆ ได้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบการอนุญาตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3727 : Peter Rutenbar ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

  • การโหลดหน้า WebKit

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 และ OS X Yosemite v10.10.3

    ผลกระทบ: การเข้าเว็บไซต์ที่ออกแบบมาที่เป็นอันตรายอาจทำให้เกิดการเข้าครอบครองบัญชี

    คำอธิบาย: มีปัญหาโดยที่ Safari อาจรักษาส่วนหัวคำขอ Origin สำหรับการเปลี่ยนเส้นทางข้ามต้นทาง ซึ่งทำให้เว็บไซต์ที่เป็นอันตรายสามารถหลีกเลี่ยงการป้องกัน CSRF ได้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการการเปลี่ยนเส้นทางให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3658: Brad Hill แห่ง Facebook

  • WebKit PDF

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 และ OS X Yosemite v10.10.3

    ผลกระทบ: การคลิกลิงก์ที่ออกแบบมาที่เป็นอันตรายในไฟล์ PDF ที่ฝังอยู่ในเว็บเพจ อาจทำให้เกิดการขโมยคุกกี้หรือการรั่วไหลของข้อมูลผู้ใช้

    คำอธิบาย: มีปัญหากับลิงก์แบบฝังตัวในไฟล์ PDF ซึ่งสามารถสั่งงาน JavaScript ในบริบทของเว็บเพจที่เป็นโฮสต์ได้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการจำกัดการสนับสนุนสำหรับลิงก์ JavaScript

    CVE-ID

    CVE-2015-3660: Apple

  • WebKit Storage

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 และ OS X Yosemite v10.10.3

    ผลกระทบ: การเข้าเว็บเพจที่ออกแบบมาที่เป็นอันตราย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมายหรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาการเปรียบเทียบที่ไม่เพียงพอในผู้อนุญาต SQLite ซึ่งอนุญาตให้มีการเรียกฟังก์ชัน SQL โดยพลการ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบการอนุญาตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3659: Peter Rutenbar ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: