เกี่ยวกับเนื้อหาความปลอดภัยของ Safari 9.1

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ Safari 9.1

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียด และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ ความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดู วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงข้อมูลเพิ่มเติมของช่องโหว่ต่างๆ

หากต้องการเรียนรู้เกี่ยวกับการอัพเดทความปลอดภัยอื่นๆ โปรดดู การอัพเดทความปลอดภัยของ Apple

Safari 9.1

  • Safari

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11.4

    ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่เป็นอันตรายอาจทำให้เกิดการปลอมแปลงอินเทอร์เฟซผู้ใช้

    คำอธิบาย: มีปัญหาโดยที่ข้อความในกล่องโต้ตอบมีข้อความที่มาจากหน้าเว็บไซต์รวมอยู่ด้วย ปัญหานี้ได้รับการแก้ไขแล้วโดยการไม่ใส่ข้อความนั้นอีกต่อไป

    CVE-ID

    CVE-2009-2197: Alexios Fakos จาก n.runs AG

  • การดาวน์โหลด Safari

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11.4

    ผลกระทบ: การเยี่ยมชมหน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการปฏิเสธการให้บริการของระบบ

    คำอธิบาย: มีปัญหาเกี่ยวกับการตรวจสอบอินพุตไม่เพียงพอในการจัดการกับไฟล์บางประเภท ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบเพิ่มเติมในช่วงระหว่างการขยายไฟล์

    CVE-ID

    CVE-2016-1771: Russ Cox

  • เว็บไซต์ยอดนิยมของ Safari

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11.4

    ผลกระทบ: เว็บไซต์อาจสามารถติดตามข้อมูลผู้ใช้ที่มีความสำคัญได้

    คำอธิบาย: มีปัญหาเกี่ยวกับพื้นที่เก็บข้อมูลคุกกี้ในหน้าเว็บไซต์ยอดนิยม ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1772: WoofWagly

  • WebKit

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11.4

    ผลกระทบ: เว็บไซต์อาจสามารถติดตามข้อมูลผู้ใช้ที่มีความสำคัญได้

    คำอธิบาย: มีปัญหาในการจัดการ URL ของไฟล์แนบ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการ URL ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1781: Devdatta Akhawe จาก Dropbox, Inc.

  • WebKit

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11.4

    ผลกระทบ: การประมวลผลเนื้อหาเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1778 : 0x1byte ซึ่งทำงานร่วมกับ Zero Day Initiative (ZDI) ของ Trend Micro และ Yang Zhao จาก CM Security

    CVE-2016-1783: Mihai Parparita จาก Google

  • WebKit

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11.4

    ผลกระทบ: เว็บไซต์ประสงค์ร้ายอาจสามารถเข้าถึงพอร์ตที่จำกัดไว้ในเซิร์ฟเวอร์โดยอำเภอใจ

    คำอธิบาย: ปัญหาการเปลี่ยนเส้นทางของพอร์ตได้รับการแก้ไขแล้วโดยการตรวจสอบพอร์ตเพิ่มเติม

    CVE-ID

    CVE-2016-1782: Muneaki Nishimura (nishimunea) จาก Recruit Technologies Co.,Ltd.

  • WebKit

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11.4

    ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยตำแหน่งปัจจุบันของผู้ใช้

    คำอธิบาย: มีปัญหาในการแยกวิเคราะห์คำขอตำแหน่งที่ตั้งทางภูมิศาสตร์ ปัญหานี้ได้รับการแก้ไขแล้ว โดยการปรับปรุงการตรวจสอบแหล่งที่มาความปลอดภัยสำหรับคำขอตำแหน่งที่ตั้งทางภูมิศาสตร์ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1779: xisigr จาก Xuanwu Lab ของ Tencent (www.tencent.com)

  • WebKit

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11.4

    ผลกระทบ: การเปิด URL ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการเปิดเผยข้อมูลผู้ใช้ที่สำคัญ

    คำอธิบาย: มีปัญหาเกิดขึ้นในการเปลี่ยนเส้นทาง URL เมื่อใช้งานตัวตรวจสอบ XSS ในโหมดบล็อค ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการนำทาง URL ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1864: Takeshi Terada จาก Mitsui Bussan Secure Directions, Inc.

  • ประวัติ WebKit

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11.4

    ผลกระทบ: การประมวลผลเนื้อหาเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ Safari ล่มโดยไม่คาดหมาย

    คำอธิบาย: ปัญหาทรัพยากรลดลงได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1784: Moony Li และ Jack Tang จาก TrendMicro และ 李普君 จาก 无声信息技术PKAV Team (PKAV.net)

  • การโหลดหน้า WebKit

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11.4

    ผลกระทบ: เว็บไซต์ที่เป็นอันตรายอาจถอนข้อมูลข้ามต้นทาง

    คำอธิบาย: มีปัญหาการแคชเกิดขึ้นกับการเข้ารหัสอักขระ ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบคำขอเพิ่มเติม

    CVE-ID

    CVE-2016-1785: นักวิจัยที่ไม่ระบุชื่อ

  • การโหลดหน้า WebKit

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11.4

    ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่เป็นอันตรายอาจทำให้เกิดการปลอมแปลงอินเทอร์เฟซผู้ใช้

    คำอธิบาย: การตอบสนองต่อการเปลี่ยนทิศทางอาจอนุญาตให้เว็บไซต์ที่เป็นอันตรายแสดง URL โดยอำเภอใจและอ่านเนื้อหาที่แคชไว้ของแหล่งปลายทางได้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงตรรกะการแสดงผล URL ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1786: ma.la จาก LINE Corporation

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: