Tietoja Safari 9:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan Safari 9:n turvallisuussisällöstä.
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustolla.
Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.
CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.
Safari 9
Safari
Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.
Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa käyttöliittymän väärentämisen.
Kuvaus: Käyttöliittymässä oli useita ristiriitaisuuksia, joiden vuoksi haitallinen verkkosivusto saattoi pystyä näyttämään mielivaltaisen URL-osoitteen. Ongelmat on ratkaistu parantamalla URL-osoitteiden näyttölogiikkaa.
CVE-ID
CVE-2015-5764: Adoben Antonio Sanso (@asanso)
CVE-2015-5765: Ron Masas
CVE-2015-5767: Krystian Kloskowski Secunian kautta sekä Masato Kinugawa
Safarin lataukset
Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.
Vaikutus: LaunchServicesin karanteenihistoria saattoi paljastaa selaushistorian.
Kuvaus: Pääsy LaunchServicesin karanteenihistoriaan saattoi paljastaa selaushistorian tiedostolatausten perusteella. Ongelma on ratkaistu parantamalla karanteenihistorian poistamista.
Safari-laajennukset
Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.
Vaikutus: Safari-laajennusten ja niihin liittyvien ohjelmien paikallinen tietoliikenne saattoi vaarantua.
Kuvaus: Safari-laajennusten (kuten salasanan hallintatyökalujen) ja niihin liittyvien natiiviohjelmien välinen tietoliikenne saattoi vaarantua toisen natiiviohjelman vuoksi. Ongelma on ratkaistu luomalla uusi todennettu tietoliikennekanava Safari-laajennusten ja niihin liittyvien ohjelmien välille.
Safari-laajennukset
Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.
Vaikutus: Safari-laajennukset saatettiin korvata levyllä toisella.
Kuvaus: Validoitu käyttäjän asentama Safari-laajennus saatettiin korvata levyllä toisella ilman että asiasta kysyttiin käyttäjältä. Ongelma on ratkaistu parantamalla laajennusten validointia.
CVE-tunnus
CVE-2015-5780: macmule.comin Ben Toms
Safarin turvallinen selaus
Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.
Vaikutus: Haitalliseksi tiedetyn verkkosivuston IP-osoitteeseen siirtyminen ei välttämättä aktivoinut suojausvaroitusta.
Kuvaus: Safarin turvallinen selaus -ominaisuus ei varoittanut käyttäjää, kun hän siirtyi haitalliseksi tiedettyyn verkkosivustoon käyttämällä sen IP-osoitetta. Ongelma on ratkaistu parantamalla haitallisten sivustojen tunnistamista.
TagsDockin Rahul M (@rahulmfg)
WebKit
Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.
Vaikutus: Osittain latautuneet kuvat saattoivat vuotaa tietoja alkuperien kesken.
Kuvaus: Kuvan alkuperän validoinnissa oli kilpailutilanne. Ongelma on ratkaistu parantamalla resurssien alkuperän validointia.
CVE-ID
CVE-2015-5788: Apple
WebKit
Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.
Vaikutus: Haitallisella verkkosivustolla käynti saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: WebKitissä oli useita muistin vioittumiseen liittyviä ongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-5789: Apple
CVE-2015-5790: Apple
CVE-2015-5791: Apple
CVE-2015-5792: Apple
CVE-2015-5793: Apple
CVE-2015-5794: Apple
CVE-2015-5795: Apple
CVE-2015-5796: Apple
CVE-2015-5797: Apple
CVE-2015-5798: Apple
CVE-2015-5799: Apple
CVE-2015-5800: Apple
CVE-2015-5801: Apple
CVE-2015-5802: Apple
CVE-2015-5803: Apple
CVE-2015-5804: Apple
CVE-2015-5805
CVE-2015-5806: Apple
CVE-2015-5807: Apple
CVE-2015-5808: Joe Vennix
CVE-2015-5809: Apple
CVE-2015-5810: Apple
CVE-2015-5811: Apple
CVE-2015-5812: Apple
CVE-2015-5813: Apple
CVE-2015-5814: Apple
CVE-2015-5815: Apple
CVE-2015-5816: Apple
CVE-2015-5817: Apple
CVE-2015-5818: Apple
CVE-2015-5819: Apple
CVE-2015-5821: Apple
CVE-2015-5822: Googlen Mark S. Miller
CVE-2015-5823: Apple
WebKit
Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.
Vaikutus: Hyökkääjä saattoi pystyä luomaan verkkosivustolle siihen kuulumattomia evästeitä.
Kuvaus: WebKit hyväksyi useiden evästeiden asettamisen document.cookie-APIssa. Ongelma on ratkaistu parantamalla jäsentämistä.
CVE-ID
CVE-2015-3801: Facebookin Erling Ellingsen
WebKit
Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.
Vaikutus: Performance-API saattoi sallia haitallisen verkkosivuston vuotaa selaushistorian, verkkotoimintoja ja hiiren liikkeitä.
Kuvaus: WebKitin Performance-API saattoi sallia haitallisen verkkosivuston vuotaa selaushistorian, verkkotoimintoja ja hiiren liikkeitä mittaamalla aikaa. Ongelma on ratkaistu rajoittamalla ajan selvittämistä.
CVE-ID
CVE-2015-5825: Columbian yliopiston Network Security Labin Yossi Oren ym.
WebKit
Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.
Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa numeron valitsemisen tahattomasti.
Kuvaus: tel://-, facetime://- ja facetime-audio://-URL-osoitteiden käsittelyssä oli ongelma. Ongelma on ratkaistu parantamalla URL-osoitteiden käsittelyä.
CVE-ID
CVE-2015-5820: Guillaume Ross ja Andrei Neculaesei
WebKit CSS
Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.
Vaikutus: Haitallinen verkkosivusto saattoi vuotaa tietoja eri alkuperien kesken.
Kuvaus: Safari salli eri alkuperää olevien tyylisivujen latautumisen muiden kuin CSS-tyyppisten MIME-tyyppien kanssa. Tätä saatettiin käyttää hyväksi vuodettaessa eri alkuperistä peräisin olevia tietoja. Ongelma on ratkaistu rajoittamalla eri alkuperää olevien tyylisivujen MIME-tyyppejä.
CVE-ID
CVE-2015-5826: filedescriptior ja Chris Evans
WebKitin JavaScript-sidonnat
Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.
Vaikutus: Objektiviitteitä saatettiin vuotaa eristettyjen alkuperien välillä mukautetuissa tapahtumissa, viestitapahtumissa ja ponnahdustilatapahtumissa.
Kuvaus: Eri alkuperien välinen eristysraja rikkoutui objektin vuoto-ongelman vuoksi. Ongelma on ratkaistu parantamalla eri alkuperien välistä eristystä.
CVE-ID
CVE-2015-5827: Gildas
WebKitin sivun lataaminen
Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.
Vaikutus: WebSockets saattoi ohittaa sekalaista sisältöä koskevan käytännön toimeenpanon.
Kuvaus: WebSockets saattoi pystyä lataamaan sekalaista sisältöä, koska käytännössä oli riittämättömän toimeenpanon ongelma. Ongelma on ratkaistu laajentamalla sekalaista sisältöä koskevan käytännön toimeenpano koskemaan WebSocketsia.
Higher Logicin Kevin G. Jones
WebKit-liitännäiset
Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.
Vaikutus: Safari-liitännäiset saattoivat lähettää HTTP-pyynnön tietämättä, että pyyntö uudelleenohjattiin.
Kuvaus: Safari-liitännäisten API ei viestinyt liitännäisille palvelinpuolen uudelleenohjauksesta. Tämä saattoi aiheuttaa luvattomia pyyntöjä. Ongelma on ratkaistu parantamalla tukea APIssa.
CVE-ID
CVE-2015-5828: Lorenzo Fontana
FaceTime ei ole saatavilla kaikissa maissa tai kaikilla alueilla.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.