关于 Safari 9 的安全性内容

本文介绍 Safari 9 的安全性内容。

为保护我们的客户,在未进行详尽调查并推出必要的修补程序或发行版之前,Apple 不会公开、讨论或确认安全性问题。要了解有关 Apple 产品安全性的更多信息,请参阅“Apple 产品安全性”网站。

有关 Apple 产品安全性 PGP 密钥的信息,请参阅“如何使用 Apple 产品安全性 PGP 密钥”。

如果可能,请使用 CVE ID 来查阅漏洞的详细信息。

要了解有关其他安全性更新的信息,请参阅“Apple 安全性更新”。

Safari 9

  • Safari

    适用于:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5 和 OS X El Capitan v10.11

    影响:访问恶意网站可能会导致用户界面电子诈骗

    描述:多个用户界面不一致可能允许恶意网站显示任意 URL。这些问题已通过改进 URL 显示逻辑得到解决。

    CVE-ID

    CVE-2015-5764:Adobe 的 Antonio Sanso (@asanso)

    CVE-2015-5765:Ron Masas

    CVE-2015-5767:Krystian Kloskowski via Secunia、Masato Kinugawa

  • Safari 下载

    适用于:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5 和 OS X El Capitan v10.11

    影响:LaunchServices 的隔离历史记录可能透露浏览历史记录。

    描述:访问 LaunchServices 的隔离历史记录可能基于文件下载透露浏览历史记录。此问题已通过改进隔离历史记录删除得到解决。

  • Safari 扩展功能

    适用于:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5 和 OS X El Capitan v10.11

    影响:Safari 扩展功能和伙伴应用之间的本地通信可能被盗用。

    描述:Safari 扩展功能(例如密码管理器)和本地伙伴应用之间的本地通信可能被其他本地应用盗用。此问题已通过 Safari 扩展功能和伙伴应用之间全新的认证通信通道得到解决。

  • Safari 扩展功能

    适用于:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5 和 OS X El Capitan v10.11

    影响:硬盘上的 Safari 扩展功能可能被替换

    描述:经过验证、用户安装的 Safari 扩展功能可能在未提示用户的情况下被替换。此问题已通过改进扩展功能验证得到解决。

    CVE-ID

    CVE-2015-5780:macmule.com 的 Ben Toms

  • Safari 安全浏览

    适用于:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5 和 OS X El Capitan v10.11

    影响:导航至已知恶意网站的 IP 地址可能无法触发安全警告

    描述:Safari 的安全浏览功能在用户通过其 IP 地址访问已知恶意网站时没有警告用户。此问题已通过改进恶意站点检测得到解决。

    TagsDock 的 Rahul M (@rahulmfg)

  • WebKit

    适用于:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5 和 OS X El Capitan v10.11

    影响:部分载入的图像可能从源泄漏数据。

    描述:图像源的验证中存在竞态条件。此问题已通过改进资源源得到解决。

    CVE-ID

    CVE-2015-5788:Apple

  • WebKit

    适用于:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5 和 OS X El Capitan v10.11

    影响:访问恶意制作的网站可能会导致应用软件意外终止或任意代码执行

    说明:WebKit 中存在多个内存损坏问题。这些问题已通过改进内存处理得到解决。

    CVE-ID

    CVE-2015-5789:Apple

    CVE-2015-5790:Apple

    CVE-2015-5791:Apple

    CVE-2015-5792:Apple

    CVE-2015-5793:Apple

    CVE-2015-5794:Apple

    CVE-2015-5795:Apple

    CVE-2015-5796:Apple

    CVE-2015-5797:Apple

    CVE-2015-5798:Apple

    CVE-2015-5799:Apple

    CVE-2015-5800:Apple

    CVE-2015-5801:Apple

    CVE-2015-5802:Apple

    CVE-2015-5803:Apple

    CVE-2015-5804:Apple

    CVE-2015-5805

    CVE-2015-5806:Apple

    CVE-2015-5807:Apple

    CVE-2015-5808:Joe Vennix

    CVE-2015-5809:Apple

    CVE-2015-5810:Apple

    CVE-2015-5811:Apple

    CVE-2015-5812:Apple

    CVE-2015-5813:Apple

    CVE-2015-5814:Apple

    CVE-2015-5815:Apple

    CVE-2015-5816:Apple

    CVE-2015-5817:Apple

    CVE-2015-5818:Apple

    CVE-2015-5819:Apple

    CVE-2015-5821:Apple

    CVE-2015-5822:Google 的 Mark S. Miller

    CVE-2015-5823:Apple

  • WebKit

    适用于:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5 和 OS X El Capitan v10.11

    影响:攻击者或许能够创建网站的非预期 Cookie

    描述:WebKit 将接受在 document.cookie API 中设置多个 Cookie。此问题已通过改进解析得到解决。

    CVE-ID

    CVE-2015-3801:Facebook 的 Erling Ellingsen

  • WebKit

    适用于:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5 和 OS X El Capitan v10.11

    影响:性能 API 可能允许恶意网站泄露浏览历史记录、网络活动和鼠标运动

    描述:WebKit 的性能 API 可能允许恶意网站通过测量时间泄露浏览历史记录、网络活动和鼠标运动。此问题已通过限制时间解决方案得到解决。

    CVE-ID

    CVE-2015-5825:哥伦比亚大学网络安全实验室的 Yossi Oren 等人

  • WebKit

    适用于:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5 和 OS X El Capitan v10.11

    影响:访问恶意网站可能会导致意外拨号

    描述:处理 tel://、facetime:// 和 facetime-audio:// URL 时存在问题。此问题已通过改进 URL 处理得到解决。

    CVE-ID

    CVE-2015-5820:Guillaume Ross、Andrei Neculaesei

  • WebKit CSS

    适用于:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5 和 OS X El Capitan v10.11

    影响:恶意网站可能会跨域泄露数据

    描述:Safari 允许跨域样式表通过非 CSS MIME 类型载入,这可能会被用于跨域数据泄露。此问题通过限制跨域样式表的 MIME 类型得到解决。

    CVE-ID

    CVE-2015-5826:filedescriptor、Chris Evans

  • WebKit JavaScript 绑定

    适用于:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5 和 OS X El Capitan v10.11

    影响:可能会泄露自定事件、消息事件和 POP 状态事件上隔离域之间的对象参考

    描述:对象泄露问题打断了域之间的隔离边界。此问题已通过改进域之间的隔离得到解决。

    CVE-ID

    CVE-2015-5827:Gildas

  • WebKit 页面载入

    适用于:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5 和 OS X El Capitan v10.11

    影响:WebSocket 可以绕过混合内容政策的强制实施。

    描述:政策强制实施不足问题允许 WebSocket 载入混合内容。此问题已通过将混合内容政策强制实施扩展至 WebSocket 得到解决。

    Higher Logic 的 Kevin G. Jones

  • WebKit 插件

    适用于:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5 和 OS X El Capitan v10.11

    影响:Safari 插件可能发送 HTTP 请求,而无法知道请求被重定向。

    描述:Safari 插件 API 无法与已发生服务器端重定向的插件进行通信。这可能导致未经授权的请求。此问题已通过改进 API 支持得到解决。

    CVE-ID

    CVE-2015-5828:Lorenzo Fontana

并非所有国家或地区都能使用 FaceTime。

有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。联系供应商以了解其他信息。

发布日期: