Om sikkerhedsindholdet i Safari 9

I dette dokument beskrives sikkerhedsindholdet i Safari 9.

Af hensyn til vores kunders sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, skal du gå til webstedet Apple-produktsikkerhed.

Du kan finde flere oplysninger om PGP-nøglen til Apple-produktsikkerhed i artiklen Sådan bruges PGP-nøglen til Apple Produktsikkerhed.

Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan læse om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

Safari 9

• Safari

  Tilgængelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

  Effekt: Indlæsning af et skadeligt websted kan medføre manipulering med brugergrænsefladen

  Beskrivelse: Flere tilfælde af inkonsistens i brugergrænsefladen kunne gøre det muligt for et skadeligt websted at vise en vilkårlig URL-adresse. Problemerne er løst ved at forbedre visningslogikken for URL-adresser.

  CVE-id

  CVE-2015-5764: Antonio Sanso (@asanso) fra Adobe

  CVE-2015-5765: Ron Masas

  CVE-2015-5767: Krystian Kloskowski via Secunia, Masato Kinugawa

• Safari Downloads

  Tilgængelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

  Effekt: Karantænehistorien for LaunchServices kan afsløre browserhistorien

  Beskrivelse: Ved adgang til karantænehistorien for LaunchServices kan der være afsløret browserhistorie på baggrund af arkivdownloads. Problemet er løst ved forbedret sletning af karantænehistorien.

• Safari-udvidelser

  Tilgængelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

  Effekt: Lokal kommunikation mellem Safari-udvidelser og tilhørende apps kan være usikker

  Beskrivelse: Den lokale kommunikation mellem Safari-udvidelser såsom adgangskodeadministratorer og de oprindelige tilhørende programmer kan blive opsnappet af et andet oprindeligt program. Problemet er løst ved at anvende en ny godkendt kommunikationskanal mellem Safari-udvidelser og tilhørende programmer.

• Safari-udvidelser

  Tilgængelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

  Effekt: Safari-udvidelser kan blive erstattet på disken

  Beskrivelse: En godkendt Safari-udvidelse, der er installeret af brugeren, kan blive erstattet på disken, uden at brugeren spørges. Problemet er løst ved forbedret godkendelse af udvidelser.

  CVE-id

  CVE-2015-5780: Ben Toms fra macmule.com

• Safari-funktionen sikker browser

  Tilgængelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

  Effekt: Åbning af IP-adressen for et websted, der er kategoriseret som skadeligt, udløser ikke en sikkerhedsadvarsel

  Beskrivelse: Safari-funktionen sikker browser advarede ikke brugerne, hvis de brugte IP-adressen til at åbne websteder, der er kategoriseret som skadelige. Problemet er løst ved forbedret registrering af skadelige websteder.

  Rahul M (@rahulmfg) fra TagsDock

• WebKit

  Tilgængelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

  Effekt: Delvist indlæste billeder kan eksfiltrere data på tværs af oprindelsessteder

  Beskrivelse: Der var en race condition ved godkendelse af oprindelsessteder for billeder. Problemet er løst ved forbedret godkendelse af oprindelsessteder for ressourcer.

  CVE-id

  CVE-2015-5788: Apple

• WebKit

  Tilgængelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

  Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

  Beskrivelse: Der var flere problemer med beskadiget hukommelse i WebKit. Problemerne er løst ved forbedret hukommelsesstyring.

  CVE-id

  CVE-2015-5789: Apple

  CVE-2015-5790: Apple

  CVE-2015-5791: Apple

  CVE-2015-5792: Apple

  CVE-2015-5793: Apple

  CVE-2015-5794: Apple

  CVE-2015-5795: Apple

  CVE-2015-5796: Apple

  CVE-2015-5797: Apple

  CVE-2015-5798: Apple

  CVE-2015-5799: Apple

  CVE-2015-5800: Apple

  CVE-2015-5801: Apple

  CVE-2015-5802: Apple

  CVE-2015-5803: Apple

  CVE-2015-5804: Apple

  CVE-2015-5805

  CVE-2015-5806: Apple

  CVE-2015-5807: Apple

  CVE-2015-5808: Joe Vennix

  CVE-2015-5809: Apple

  CVE-2015-5810: Apple

  CVE-2015-5811: Apple

  CVE-2015-5812: Apple

  CVE-2015-5813: Apple

  CVE-2015-5814: Apple

  CVE-2015-5815: Apple

  CVE-2015-5816: Apple

  CVE-2015-5817: Apple

  CVE-2015-5818: Apple

  CVE-2015-5819: Apple

  CVE-2015-5821: Apple

  CVE-2015-5822: Mark S. Miller fra Google

  CVE-2015-5823: Apple

• WebKit

  Tilgængelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

  Effekt: En hacker kan oprette uønskede cookies for et websted

  Beskrivelse: WebKit accepterede, at der blev indsat flere cookies i document.cookie-API'en. Problemet er løst ved forbedret parsing.

  CVE-id

  CVE-2015-3801: Erling Ellingsen fra Facebook

• WebKit

  Tilgængelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

  Effekt: Performance-API'en kan gøre det muligt for et skadeligt websted at lække browserhistorie, netværksaktivitet og musebevægelser

  Beskrivelse: WebKits Performance-API kunne gøre det muligt for et skadeligt websted at lække browserhistorie, netværksaktivitet og musebevægelser på baggrund af målingstidspunkt. Problemet er løst ved at begrænse "time resolution".

  CVE-id

  CVE-2015-5825: Yossi Oren m.fl. fra Network Security Lab under Columbia University

• WebKit

  Tilgængelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

  Effekt: Besøg på et skadeligt websted kan medføre uønskede opkald

  Beskrivelse: Der var et problem med behandling af URL-adresser af typen tel://, facetime:// og facetime-audio://. Problemet er løst ved forbedret behandling af URL-adresser.

  CVE-id

  CVE-2015-5820: Guillaume Ross, Andrei Neculaesei

• WebKit CSS

  Tilgængelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

  Effekt: Et skadeligt websted kan eksfiltrere data på tværs af oprindelsessteder

  Beskrivelse: Safari tillod, at formatark på tværs af oprindelsessteder blev indlæst med non-CSS MIME-typer, som kunne bruges til at eksfiltrere data på tværs af oprindelsessteder. Problemet er løst ved at begrænse MIME-typer ved formatark på tværs af oprindelsessteder.

  CVE-id

  CVE-2015-5826: filedescriptior, Chris Evans

• WebKit JavaScript-bindinger

  Tilgængelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

  Effekt: Der kan blive lækket objektreferencer mellem isolerede oprindelsessteder ved tilpassede hændelser, beskedhændelser og popstate-hændelser

  Beskrivelse: Et problem med objektlækage medførte brud på isoleringsgrænsen mellem oprindelsesstederne. Problemet er løst ved forbedret isolering mellem oprindelsesstederne.

  CVE-id

  CVE-2015-5827: Gildas

• WebKit-sideindlæsning

  Tilgængelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

  Effekt: WebSockets kan tilsidesætte håndhævelse af politikken for blandet indhold

  Beskrivelse: Der var et problem med utilstrækkelig håndhævelse af en politik, hvilket gjorde det muligt for WebSockets at indlæse blandet indhold. Problemet er løst ved at udvide håndhævelsen af politikken for blandet indhold til WebSockets.

  Kevin G. Jones fra Higher Logic

• WebKit-tilbehør

  Tilgængelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11

  Effekt: Safari-tilbehør kan sende en HTTP-forespørgsel uden at vide, at forespørgslen er omdirigeret

  Beskrivelse: Safari-tilbehørets API kommunikerede ikke med tilbehør, at der var sket en omdirigering på serversiden. Det kunne medføre uautoriserede forespørgsler. Problemet er løst ved forbedret API-understøttelse.

  CVE-id

  CVE-2015-5828: Lorenzo Fontana

FaceTime er ikke tilgængelig i alle lande eller områder.