关于 Safari 9.1 的安全性内容
本文介绍了 Safari 9.1 的安全性内容。
为保护我们的客户,在未进行详尽调查并推出必要的修补程序或发行版之前,Apple 不会公开、讨论或确认安全性问题。要了解有关 Apple 产品安全性的更多信息,请参阅“Apple 产品安全性”网站。
有关 Apple 产品安全性 PGP 密钥的信息,请参阅“如何使用 Apple 产品安全性 PGP 密钥”。
如果可能,请使用 CVE ID 来查阅漏洞的详细信息。
要了解有关其他安全性更新的信息,请参阅“Apple 安全性更新”。
Safari 9.1
Safari
适用于:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5 和 OS X El Capitan v10.11.4
影响:访问恶意网站可能会导致用户界面电子诈骗
说明:存在一个问题,即对话框文本包含页面提供的文本。此问题已通过不再包含该文本得到解决。
CVE-ID
CVE-2009-2197:n.runs AG 的 Alexios Fakos
Safari 下载
适用于:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5 和 OS X El Capitan v10.11.4
影响:访问恶意制作的网页可能导致系统服务遭拒
说明:在处理特定文件时存在输入验证不充分问题。此问题已通过文件扩展期间增加检查得到解决。
CVE-ID
CVE-2016-1771:Russ Cox
Safari Top Sites
适用于:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5 和 OS X El Capitan v10.11.4
影响:某个网站或许能够跟踪敏感用户信息
说明:在 Top Sites 页面中存在 cookie 储存问题。此问题已通过改进状态管理得到解决。
CVE-ID
CVE-2016-1772:WoofWagly
WebKit
适用于:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5 和 OS X El Capitan v10.11.4
影响:某个网站或许能够跟踪敏感用户信息
说明:处理附件 URL 时存在问题。此问题已通过改进 URL 处理得到解决。
CVE-ID
CVE-2016-1781:Dropbox, Inc. 的 Devdatta Akhawe
WebKit
适用于:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5 和 OS X El Capitan v10.11.4
影响:处理恶意制作的 Web 内容可能会导致任意代码执行
说明:多个内存损坏问题已通过改进内存处理得到解决。
CVE-ID
CVE-2016-1778:与 Trend Micro 的 Zero Day Initiative (ZDI) 合作的 0x1byte 和 CM Security 的 Yang Zhao
CVE-2016-1783:Google 的 Mihai Parparita
WebKit
适用于:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5 和 OS X El Capitan v10.11.4
影响:恶意网站或许能够访问任意服务器上的受限端口
说明:端口重定向问题已通过增加端口验证得到解决。
CVE-ID
CVE-2016-1782:Recruit Technologies Co.,Ltd. 的 Muneaki Nishimura (nishimunea)
WebKit
适用于:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5 和 OS X El Capitan v10.11.4
影响:访问恶意制作的网站可能会泄露用户的当前位置
说明:解析地理定位请求时存在问题。此问题已通过改进对地理定位请求的安全来源验证得到解决。
CVE-ID
CVE-2016-1779:腾讯玄武实验室 (www.tencent.com) 的 xisigr
WebKit
适用于:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5 和 OS X El Capitan v10.11.4
影响:打开恶意制作的 URL 可能会导致敏感信息泄露
说明:在块模式下使用 XSS 审核员时 URL 重定向存在问题。此问题已通过改进 URL 导航得到解决。
CVE-ID
CVE-2016-1864:Mitsui Bussan Secure Directions, Inc. 的 Takeshi Terada
WebKit 历史记录
适用于:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5 和 OS X El Capitan v10.11.4
影响:处理恶意制作的 Web 内容可能会导致 Safari 意外崩溃
说明:资源耗尽问题已通过改进输入验证得到解决。
CVE-ID
CVE-2016-1784:Trend Micro 的 Moony Li 和 Jack Tang 以及无声信息技术 PKAV Team (PKAV.net) 的李普君
WebKit 页面载入
适用于:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5 和 OS X El Capitan v10.11.4
影响:恶意网站可能会跨域泄露数据
说明:字符编码中存在缓存问题。此问题已通过增加请求检查得到解决。
CVE-ID
CVE-2016-1785:一位匿名研究者
WebKit 页面载入
适用于:OS X Mavericks v10.9.5、OS X Yosemite v10.10.5 和 OS X El Capitan v10.11.4
影响:访问恶意网站可能会导致用户界面电子诈骗
说明:重定向响应可能已经允许恶意网站显示一个任意 URL,并读取目标位置来源的缓存内容。此问题已通过改进 URL 显示逻辑得到解决。
CVE-ID
CVE-2016-1786:LINE Corporation 的 ma.la
有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。联系供应商以了解其他信息。