Om sikkerhetsinnholdet i Safari 9
Dette dokumentet beskriver sikkerhetsinnholdet i Safari 9.
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.
Du finner mer informasjon om PGP-nøkkelen for Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen for Apple Produktsikkerhet.
Der det er mulig brukes CVE-IDer som referanse til sårbarheter for ytterligere informasjon.
Hvis du vil lese mer om andre sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.
Safari 9
Safari
Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11
Virkning: Besøk på et skadelig nettsted kan føre til grensesnittsvindel
Beskrivelse: Flere uoverensstemmelser i brukergrensesnittet kan ha gjort det mulig for et skadelig nettsted å vise en vilkårlig URL. Problemene ble løst gjennom forbedret URL-visningslogikk.
CVE-ID
CVE-2015-5764: Antonio Sanso (@asanso) i Adobe
CVE-2015-5765: Ron Masas
CVE-2015-5767: Krystian Kloskowski via Secunia, Masato Kinugawa
Safari-nedlastinger
Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11
Virkning: LaunchServices' karantenehistorikk kan avsløre nettleserhistorikk
Beskrivelse: Tilgang til LaunchServices' karantenehistorikk kan ha avslørt nettleserhistorikk basert på filnedlastinger. Dette problemet ble løst gjennom forbedret sletting av karantenehistorikk.
Safari-tillegg
Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11
Virkning: Lokal kommunikasjon mellom Safari-tillegg og ledsagerapper kan bli kompromittert
Beskrivelse: Den lokale kommunikasjonen mellom Safari-tillegg som passordbehandlere og deres innebygde ledsagerapper kunne bli kompromittert av en annen innebygd app. Dette problemet ble løst gjennom en ny, godkjent kommunikasjonskanal mellom Safari-tillegg og ledsagerapper.
Safari-tillegg
Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11
Virkning: Safari-tillegg kan bli erstattet på disk
Beskrivelse: Et validert, brukerinstallert Safari-tillegg kunne bli erstattet på disk uten melding til brukeren. Dette problemet ble løst ved forbedret validering av tillegg.
CVE-ID
CVE-2015-5780 : Ben Toms fra macmule.com
Trygg Safari-nettlesing
Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11
Virkning: Navigering til IP-adressen til et kjent skadelig nettsted vil kanskje ikke utløse noen sikkerhetsadvarsel
Beskrivelse: Safari-funksjonen for trygg nettlesing advarte ikke brukere ved besøk på kjente skadelige nettsteder via IP-adressen. Problemet ble løst gjennom forbedret oppdagelse av skadelige nettsteder.
Rahul M (@rahulmfg) fra TagsDock
WebKit
Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11
Virkning: Delvis lastede bilder kan eksfiltrere data på tvers av opphav
Beskrivelse: Det vare en race-tilstand i validering av bildeopphav. Dette problemet ble løst ved forbedret validering av ressursopphav.
CVE-ID
CVE-2015-5788: Apple
WebKit
Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11
Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det er flere problemer med ødelagt hukommelse i WebKit. Disse problemene ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2015-5789: Apple
CVE-2015-5790: Apple
CVE-2015-5791: Apple
CVE-2015-5792: Apple
CVE-2015-5793: Apple
CVE-2015-5794: Apple
CVE-2015-5795: Apple
CVE-2015-5796: Apple
CVE-2015-5797: Apple
CVE-2015-5798 : Apple
CVE-2015-5799: Apple
CVE-2015-5800: Apple
CVE-2015-5801: Apple
CVE-2015-5802: Apple
CVE-2015-5803: Apple
CVE-2015-5804: Apple
CVE-2015-5805
CVE-2015-5806: Apple
CVE-2015-5807: Apple
CVE-2015-5808: Joe Vennix
CVE-2015-5809: Apple
CVE-2015-5810: Apple
CVE-2015-5811: Apple
CVE-2015-5812: Apple
CVE-2015-5813: Apple
CVE-2015-5814: Apple
CVE-2015-5815: Apple
CVE-2015-5816: Apple
CVE-2015-5817: Apple
CVE-2015-5818: Apple
CVE-2015-5819: Apple
CVE-2015-5821: Apple
CVE-2015-5822: Mark S. Miller i Google
CVE-2015-5823: Apple
WebKit
Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11
Virkning: En angriper kan være i stand til å opprette ikke tiltenkte informasjonskapsler for et nettsted
Beskrivelse: WebKit ville godta at det ble angitt flere informasjonskapsler i document.cookie-API-et. Problemet ble løst gjennom forbedret analyse.
CVE-ID
CVE-2015-3801: Erling Ellingsen i Facebook
WebKit
Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11
Virkning: Performance API kan gjøre det mulig for et skadelig nettsted å lekke nettleserhistorikk, nettverksaktivitet og musebevegelser
Beskrivelse: WebKits Performance API kunne ha tillatt et skadelig nettsted å lekke nettleserhistorikk, nettverksaktivitet og musebevegelser gjennom tidsmålinger. Problemet ble løst ved å begrense tidsoppløsningen.
CVE-ID
CVE-2015-5825: Yossi Oren et al. ved Columbia Universitys Network Security Lab
WebKit
Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11
Virkning: Besøk på et skadelig nettsted kan føre til ikke tiltenkt oppringning
Beskrivelse: Det var et problem i håndteringen av URL-er av typen tel://, facetime:// og facetime-audio://. Problemet ble løst med forbedret URL-håndtering.
CVE-ID
CVE-2015-5820 : Guillaume Ross, Andrei Neculaesei
WebKit CSS
Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11
Virkning: Et skadelig nettsted kan eksfiltrere data på tvers av opphav
Beskrivelse: Safari tillot at stilark ble lastet på tvers av opphav med ikke-CSS MIME-typer som kunne brukes til dataeksfiltrering på tvers av opphav. Problemet ble løst ved å begrense MIME-typer for stilark på tvers av opphav.
CVE-ID
CVE-2015-5826 : filedescriptior, Chris Evans
WebKit JavaScript Bindings
Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11
Virkning: Objektreferanser kan lekkes mellom isolerte opphav i tilpassede hendelser, meldingshendelser og «pop state»-hendelser
Beskrivelse: Et problem med objektlekkasje brøt isoleringsgrensen mellom opphav. Problemet ble løst gjennom forbedret isolering mellom opphav.
CVE-ID
CVE-2015-5827: Gildas
Lasting av WebKit-sider
Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11
Virkning: WebSockets kan omgå håndhevelsen av policy for blandet innhold
Beskrivelse: Et problem med utilstrekkelig håndhevelse av policy gjorde at WebSockets kunne laste blandet innhold. Problemet ble løst ved å utvide håndhevelsen av policy for blandet innhold til WebSockets.
Kevin G. Jones i Higher Logic
WebKit-tillegg
Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11
Virkning: Safari-programtillegg kan sende en HTTP-forespørsel uten å vite at forespørselen ble omdirigert
Beskrivelse: Safari-programtilleggenes API kommuniserte ikke til tilleggene at det hadde skjedd en omdirigering på tjenersiden. Dette kunne føre til uautoriserte forespørsler. Problemet ble løst gjennom forbedret API-støtte.
CVE-ID
CVE-2015-5828 : Lorenzo Fontana
FaceTime er ikke tilgjengelig i alle land eller regioner.
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.