เกี่ยวกับข้อมูลด้านความปลอดภัยของ Safari 9

เอกสารนี้จะอธิบายเกี่ยวกับข้อมูลด้านความปลอดภัยของ Safari 9

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียด และมีแพทช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการรักษาความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple

คุณสามารถดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ได้ที่ วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้

หากต้องการเรียนรู้เกี่ยวกับการอัพเดทความปลอดภัยอื่นๆ โปรดดู  การอัพเดทความปลอดภัยของ Apple

Safari 9

  • Safari

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11

    ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่เป็นอันตรายอาจทำให้เกิดการปลอมแปลงอินเทอร์เฟซผู้ใช้

    คำอธิบาย: ความไม่สอดคล้องกันของอินเทอร์เฟซผู้ใช้จำนวนมากอาจอนุญาตให้เว็บไซต์ที่เป็นอันตรายแสดง URL ได้ตามอำเภอใจ ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการปรับปรุงตรรกะการแสดงผล URL ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5764: Antonio Sanso (@asanso) จาก Adobe

    CVE-2015-5765: Ron Masas

    CVE-2015-5767: Krystian Kloskowski ผ่าน Secunia, Masato Kinugawa

  • การดาวน์โหลด Safari

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11

    ผลกระทบ: ประวัติของการกักกันของ LaunchServices อาจเปิดเผยประวัติการเรียกดู

    คำอธิบาย: การเข้าถึงประวัติของการกักกันของ LaunchServices อาจเปิดเผยประวัติการเรียกดูบนพื้นฐานของการดาวน์โหลดไฟล์ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการลบประวัติการกักกันให้ดียิ่งขึ้น

  • ส่วนขยายของ Safari

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11

    ผลกระทบ: การสื่อสารในเครื่องระหว่างส่วนขยายของ Safari และแอพที่ทำงานด้วยกันอาจได้รับความเสียหาย

    คำอธิบาย: การสื่อสารในเครื่องระหว่างส่วนขยายของ Safari เช่น ตัวจัดการรหัสผ่านและแอพที่ทำงานด้วยกันดั้งเดิมอาจได้รับความเสียหายจากแอพดั้งเดิมอื่น ปัญหานี้ได้รับการแก้ไขผ่านช่องทางสื่อสารใหม่ที่มีการรับรองความถูกต้องระหว่างส่วนขยายของ Safari และแอพที่ทำงานด้วยกัน

  • ส่วนขยายของ Safari

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11

    ผลกระทบ: ส่วนขยายของ Safari อาจถูกแทนที่บนดิสก์

    คำอธิบาย: ส่วนขยายของ Safari ที่ผู้ใช้ติดตั้งและผ่านการตรวจสอบแล้วอาจถูกแทนที่บนดิสก์โดยไม่มีการแจ้งผู้ใช้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบส่วนขยายให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5780: Ben Toms จาก macmule.com

  • การท่องเว็บอย่างปลอดภัยของ Safari

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11

    ผลกระทบ: การนำทางไปยังที่อยู่ IP ของเว็บไซต์ที่ทราบว่ามีอันตรายอาจไม่เริ่มการแจ้งเตือนด้านความปลอดภัย

    คำอธิบาย: คุณสมบัติการท่องเว็บอย่างปลอดภัยของ Safari ไม่ได้เตือนผู้ใช้เมื่อเข้าสู่เว็บไซต์ที่ทราบว่ามีอันตรายตามที่อยู่ IP ของผู้ใช้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจจับเว็บไซต์ที่เป็นอันตรายให้ดียิ่งขึ้น

    Rahul M (@rahulmfg) จาก TagsDock

  • WebKit

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11

    ผลกระทบ: อิมเมจที่โหลดบางส่วนอาจถอนข้อมูลข้ามต้นทาง

    คำอธิบาย: มีการทำงานแฝงเข้ามาในการตรวจสอบต้นทางของอิมเมจ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบต้นทางของทรัพยากรให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5788: Apple

  • WebKit

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11

    ผลกระทบ: การไปยังเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดทำงานโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายหลายจุดใน WebKit ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5789 : Apple

    CVE-2015-5790 : Apple

    CVE-2015-5791 : Apple

    CVE-2015-5792 : Apple

    CVE-2015-5793 : Apple

    CVE-2015-5794 : Apple

    CVE-2015-5795 : Apple

    CVE-2015-5796 : Apple

    CVE-2015-5797 : Apple

    CVE-2015-5798 : Apple

    CVE-2015-5799 : Apple

    CVE-2015-5800 : Apple

    CVE-2015-5801 : Apple

    CVE-2015-5802 : Apple

    CVE-2015-5803 : Apple

    CVE-2015-5804 : Apple

    CVE-2015-5805

    CVE-2015-5806 : Apple

    CVE-2015-5807 : Apple

    CVE-2015-5808 : Joe Vennix

    CVE-2015-5809 : Apple

    CVE-2015-5810 : Apple

    CVE-2015-5811 : Apple

    CVE-2015-5812 : Apple

    CVE-2015-5813 : Apple

    CVE-2015-5814 : Apple

    CVE-2015-5815 : Apple

    CVE-2015-5816 : Apple

    CVE-2015-5817 : Apple

    CVE-2015-5818 : Apple

    CVE-2015-5819 : Apple

    CVE-2015-5821 : Apple

    CVE-2015-5822: Mark S. Miller จาก Google

    CVE-2015-5823 : Apple

  • WebKit

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11

    ผลกระทบ: ผู้โจมตีอาจสามารถสร้างคุกกี้ที่ไม่พึงประสงค์สำหรับเว็บไซต์

    คำอธิบาย: WebKit อาจจะยอมรับการตั้งค่าคุกกี้จำนวนมากใน document.cookie API ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการแยกวิเคราะห์ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3801: Erling Ellingsen จาก Facebook

  • WebKit

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11

    ผลกระทบ: Performance API อาจอนุญาตให้เว็บไซต์ที่เป็นอันตรายทำให้ประวัติการเรียกดู กิจกรรมของเครือข่าย และการเคลื่อนไหวของเมาส์รั่วไหล

    คำอธิบาย: Performance API ของ WebKit อาจอนุญาตให้เว็บไซต์ที่เป็นอันตรายทำให้ประวัติการเรียกดู กิจกรรมของเครือข่าย และการเคลื่อนไหวของเมาส์รั่วไหลได้โดยการตรวจสอบเวลา ปัญหานี้ได้รับการแก้ไขแล้วโดยการจำกัดความละเอียดของเวลา

    CVE-ID

    CVE-2015-5825: Yossi Oren et al. จาก Network Security Lab แห่ง Columbia University

  • WebKit

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11

    ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่เป็นอันตรายอาจทำให้เกิดการโทรออกโดยไม่ได้ตั้งใจ

    คำอธิบาย: มีปัญหาในการจัดการ URL ของ tel://, facetime:// และ facetime-audio:// ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการ URL ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5820: Guillaume Ross, Andrei Neculaesei

  • WebKit CSS

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11

    ผลกระทบ: เว็บไซต์ที่เป็นอันตรายอาจถอนข้อมูลข้ามต้นทาง

    คำอธิบาย: Safari อนุญาตให้สไตล์ชีทข้ามต้นทางได้รับการโหลดด้วย MIME ที่ไม่ใช่ประเภท CSS ซึ่งสามารถนำมาใช้สำหรับการถอนข้อมูลข้ามต้นทางได้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการจำกัดประเภท MIME สำหรับสไตล์ชีทข้ามต้นทาง

    CVE-ID

    CVE-2015-5826: filedescriptior, Chris Evans

  • WebKit JavaScript Bindings

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11

    ผลกระทบ: การอ้างอิงออบเจ็กต์อาจรั่วไหลระหว่างต้นทางที่ถูกกั้นแยกในเหตุการณ์ที่กำหนดเอง เหตุการณ์ข้อความ และเหตุการณ์สถานะการปรากฏ

    คำอธิบาย: ปัญหาการรั่วไหลของออบเจ็กต์ทำลายขอบเขตการกั้นแยกระหว่างต้นทาง ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการกั้นแยกระหว่างต้นทางให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5827: Gildas

  • การโหลดหน้า WebKit

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11

    ผลกระทบ: WebSockets อาจหลีกเลี่ยงการบังคับใช้นโยบายคอนเทนต์แบบผสม

    คำอธิบาย: ปัญหาการบังคับใช้นโยบายที่ไม่เพียงพอที่อนุญาตให้ WebSockets โหลดคอนเทนต์แบบผสมได้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการขยายการบังคับใช้นโยบายคอนเทนต์แบบผสมกับ WebSockets

    Kevin G. Jones จาก Higher Logic

  • ปลั๊กอิน WebKit

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11

    ผลกระทบ: ปลั๊กอิน Safari อาจส่งคำขอ HTTP โดยไม่ทราบว่าคำขอถูกเปลี่ยนเส้นทางไปแล้ว

    คำอธิบาย: API ของปลั๊กอิน Safari ไม่ได้สื่อสารกับปลั๊กอินที่เกิดการเปลี่ยนเส้นทางฝั่งเซิร์ฟเวอร์ ซึ่งอาจนำไปสู่คำขอที่ไม่ได้รับอนุญาต ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการสนับสนุน API ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5828: Lorenzo Fontana

FaceTime อาจไม่สามารถใช้งานได้ในบางประเทศหรือภูมิภาค

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: