เกี่ยวกับเนื้อหาด้านความปลอดภัยของ Safari 8.0.8, Safari 7.1.8 และ Safari 6.2.8

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ Safari 8.0.8, Safari 7.1.8 และ Safari 6.2.8

เพื่อเป็นการป้องกันลูกค้าของเรา Apple จะไม่เปิดเผย อภิปรายหรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียดและมีโปรแกรมปะแก้ที่จำเป็นหรือมีการวางจำหน่าย หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการรักษาความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเกี่ยวกับคีย์ PGP เพื่อความปลอดภัยของผลิตภัณฑ์ Apple โปรดดู วิธีการใช้คีย์ PGP เพื่อความปลอดภัยของผลิตภัณฑ์ Apple

เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงข้อมูลเพิ่มเติมของช่องโหว่ต่างๆ

หากต้องการเรียนรู้เกี่ยวกับการอัพเดทความปลอดภัยอื่นๆ โปรดดู  การอัพเดทความปลอดภัยของ Apple

Safari 8.0.8, Safari 7.1.8 และ Safari 6.2.8

  • แอพพลิเคชั่น Safari

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 และ OS X Yosemite v10.10.4

    ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่เป็นอันตรายอาจนำไปสู่การปลอมแปลงอินเทอร์เฟซผู้ใช้

    คำอธิบาย: เว็บไซต์ที่เป็นอันตรายอาจสามารถเปิดไซต์อื่น และมีพร้อมท์แจ้งให้ผู้ใช้ป้อนข้อมูล โดยที่ผู้ใช้ไม่มีวิธีที่จะตรวจสอบว่าพร้อมท์นั้นมาจากที่ใด ปัญหานี้ได้รับการแก้ไขแล้วโดยการแสดงแหล่งที่มาของพร้อมท์ให้ผู้ใช้ได้ทราบ

    CVE-ID

    CVE-2015-3729: Code Audit Labs แห่ง VulnHunt.com

  • WebKit

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 และ OS X Yosemite v10.10.4

    ผลกระทบ: การไปเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายหลายจุดใน WebKit ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3730: Apple

    CVE-2015-3731: Apple

    CVE-2015-3732: Apple

    CVE-2015-3733: Apple

    CVE-2015-3734: Apple

    CVE-2015-3735: Apple

    CVE-2015-3736: Apple

    CVE-2015-3737: Apple

    CVE-2015-3738: Apple

    CVE-2015-3739: Apple

    CVE-2015-3740: Apple

    CVE-2015-3741: Apple

    CVE-2015-3742: Apple

    CVE-2015-3743: Apple

    CVE-2015-3744: Apple

    CVE-2015-3745: Apple

    CVE-2015-3746: Apple

    CVE-2015-3747: Apple

    CVE-2015-3748: Apple

    CVE-2015-3749: Apple

  • WebKit

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 และ OS X Yosemite v10.10.4

    ผลกระทบ: เว็บไซต์ที่เป็นอันตรายสามารถกระตุ้นคำขอข้อความธรรมดาไปยังต้นทางภายใต้ HTTP Strict Transport Security

    คำอธิบาย:มีปัญหาที่คำขอรายงานนโยบายการรักษาความปลอดภัยของเนื้อหาไม่ยึดถือ HTTP Strict Transport Security ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการบังคับใช้ HTTP Strict Transport Security ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3750: Muneaki Nishimura (nishimunea)

  • WebKit

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 และ OS X Yosemite v10.10.4

    ผลกระทบ: การโหลดภาพอาจละเมิดคำสั่งนโยบายการรักษาความปลอดภัยของเนื้อหาของเว็บไซต์

    คำอธิบาย: เกิดปัญหาที่เว็บไซต์ที่มีการควบคุมวิดีโอโหลดภาพที่ซ้อนกันในองค์ประกอบของออบเจ็กต์ โดยมีการละเมิดคำสั่งนโยบายการรักษาความปลอดภัยของเนื้อหาของเว็บไซต์ ปัญหานี้ได้รับการแก้ไขปรับปรุงผ่านการบังคับใช้นโยบายการรักษาความปลอดภัยของเนื้อหาที่ดีขึ้น

    CVE-ID

    CVE-2015-3751 : Muneaki Nishimura (nishimunea)

  • WebKit

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 และ OS X Yosemite v10.10.4

    ผลกระทบ: คำขอรายงานนโยบายการรักษาความปลอดภัยเนื้อหาอาจทำให้คุกกี้รั่วไหล

    คำอธิบาย: มีปัญหาสองข้อเกี่ยวกับวิธีการเพิ่มคุกกี้ในคำขอรายงานนโยบายการรักษาความปลอดภัยเนื้อหา คุกกี้ถูกส่งมาในคำขอรายงานแบบข้ามต้นทางโดยมีการละเมิดมาตรฐาน คุกกี้ที่ตั้งค่าระหว่างการเรียกดูแบบปกติถูกส่งไปในรูปแบบการเรียกดูแบบส่วนตัว ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการคุกกี้ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3752: Muneaki Nishimura (nishimunea)

  • WebKit Canvas

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 และ OS X Yosemite v10.10.4

    ผลกระทบ: เว็บไซต์ที่เป็นอันตรายอาจกรองทิ้งข้อมูลภาพข้ามต้นทาง

    คำอธิบาย: ภาพที่เรียกผ่าน URL ที่เปลี่ยนเส้นทางไปยังทรัพยากร data:image อาจถูกกรองทิ้งข้ามต้นทาง ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการติดตาม Canvas Taint ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3753: Antonio Sanso และ Damien Antipa แห่ง Adobe

  • การโหลดหน้า WebKit

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 และ OS X Yosemite v10.10.4

    ผลกระทบ: สถานะการรับรองความถูกต้องที่แคชไว้อาจเปิดเผยประวัติการเรียกดูแบบส่วนตัว

    คำอธิบาย: มีปัญหาในการแคชการรับรองความถูกต้องของ HTTP ข้อมูลประจำตัวที่ป้อนลงในโหมดการเรียกดูแบบส่วนตัวถูกนำไปที่การเรียกดูแบบปกติ ซึ่งอาจเผยให้เห็นส่วนของประวัติการเรียกดูแบบส่วนตัวของผู้ใช้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงข้อจำกัดการแคชให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3754: Dongsung Kim (@kid1ng)

  • WebKit Process Model

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 และ OS X Yosemite v10.10.4

    ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่เป็นอันตรายอาจนำไปสู่การปลอมแปลงอินเทอร์เฟซผู้ใช้

    คำอธิบาย: การนำทางไปยัง URL ที่มีรูปแบบผิดปกติอาจเปิดโอกาสให้เว็บไซต์ที่เป็นอันตรายแสดง URL ได้โดยอำเภอใจ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการ URL ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3755: xisigr แห่ง Xuanwu Lab ของ Tencent

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: