Safari 9'un güvenlik içeriği hakkında

Bu belgede Safari 9'un güvenlik içeriği açıklanmaktadır.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarı'nı kullanma başlıklı makaleye bakın.

Mümkün olduğunda, daha fazla bilgi sağlamak amacıyla güvenlik açıklarından söz edilirken CVE Kimlikleri kullanılır.

Diğer güvenlik güncellemeleri hakkında daha fazla bilgi için Apple güvenlik güncellemeleri başlıklı makaleye bakın.

Safari 9

  • Safari

    İlgili işletim sistemleri: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 ve OS X El Capitan v10.11

    Etki: Kötü amaçlı bir web sitesinin ziyaret edilmesi kullanıcı arabirimi sahteciliğine yol açabilir

    Açıklama: Kullanıcı arabirimindeki birden çok tutarsızlık, kötü amaçlı bir web sitesinin rastgele bir URL göstermesine neden olabiliyordu. Bu sorunlar, URL görüntüleme mantığı iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5764: Adobe'dan Antonio Sanso (@asanso)

    CVE-2015-5765: Ron Masas

    CVE-2015-5767: Krystian Kloskowski (Secunia aracılığıyla), Masato Kinugawa

  • Safari İndirilenleri

    İlgili işletim sistemleri: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 ve OS X El Capitan v10.11

    Etki: LaunchServices'ın karantina geçmişi, tarama geçmişini gösterebilir

    Açıklama: LaunchServices'ın karantina geçmişine erişilmesi, dosya indirmelerine bağlı olarak tarama geçmişini gösterebiliyordu. Karantina geçmişi silme işlemi iyileştirilerek bu sorun giderildi.

  • Safari Genişletmeleri

    İlgili işletim sistemleri: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 ve OS X El Capitan v10.11

    Etki: Safari genişletmeleri ve eşlik eden uygulamalar arasındaki yerel iletişimin gizliliği ihlal edilebilir

    Açıklama: Parola yöneticileri gibi Safari genişletmeleri ve bunlara eşlik eden yerleşik uygulamalar arasındaki iletişimin gizliliği, başka bir yerleşik uygulama tarafından ihlal edilebiliyordu. Safari genişletmeleri ve eşlik eden uygulamalar arasında yeni, kimlik doğrulamalı bir iletişim kanalı oluşturularak bu sorun giderildi.

  • Safari Genişletmeleri

    İlgili işletim sistemleri: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 ve OS X El Capitan v10.11

    Etki: Safari uzantıları disk üzerinde değiştirilebilir

    Açıklama: Doğrulanmış, kullanıcı tarafından yüklenmiş bir Safari genişletmesi, kullanıcıya sorulmadan disk üzerinde değiştirilebiliyordu. Uzantıların doğrulanması iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5780: macmule.com'dan Ben Toms

  • Safari Güvenli Tarama

    İlgili işletim sistemleri: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 ve OS X El Capitan v10.11

    Etki: Bilinen kötü amaçlı bir web sitesinin IP adresine gitmek, güvenlik uyarısı tetiklemeyebilir

    Açıklama: Safari'nin Güvenli Tarama özelliği IP adresleri bilinen kötü amaçlı web sitelerini ziyaret ederken kullanıcıları uyarmıyordu. Bu sorun, kötü amaçlı siteleri algılama özelliği iyileştirilerek giderildi.

    TagsDock'tan Rahul M (@rahulmfg)

  • WebKit

    İlgili işletim sistemleri: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 ve OS X El Capitan v10.11

    Etki: Kısmi olarak yüklenen görüntüler, kaynaklar arasında veri çalabilir

    Açıklama: Görüntü kaynaklarının doğrulanmasında bir yarış durumu vardı. Kaynak noktaların doğrulanması iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5788: Apple

  • WebKit

    İlgili işletim sistemleri: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 ve OS X El Capitan v10.11

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: WebKit'te birden çok bellek bozulması sorunu vardı. Bu sorunlar belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5789: Apple

    CVE-2015-5790: Apple

    CVE-2015-5791: Apple

    CVE-2015-5792: Apple

    CVE-2015-5793: Apple

    CVE-2015-5794: Apple

    CVE-2015-5795: Apple

    CVE-2015-5796: Apple

    CVE-2015-5797: Apple

    CVE-2015-5798: Apple

    CVE-2015-5799: Apple

    CVE-2015-5800: Apple

    CVE-2015-5801: Apple

    CVE-2015-5802: Apple

    CVE-2015-5803: Apple

    CVE-2015-5804: Apple

    CVE-2015-5805

    CVE-2015-5806: Apple

    CVE-2015-5807: Apple

    CVE-2015-5808: Joe Vennix

    CVE-2015-5809: Apple

    CVE-2015-5810: Apple

    CVE-2015-5811: Apple

    CVE-2015-5812: Apple

    CVE-2015-5813: Apple

    CVE-2015-5814: Apple

    CVE-2015-5815: Apple

    CVE-2015-5816: Apple

    CVE-2015-5817: Apple

    CVE-2015-5818: Apple

    CVE-2015-5819: Apple

    CVE-2015-5821: Apple

    CVE-2015-5822: Google'dan Mark S. Miller

    CVE-2015-5823: Apple

  • WebKit

    İlgili işletim sistemleri: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 ve OS X El Capitan v10.11

    Etki: Bir saldırgan, web sitesi için istenmeyen çerezler oluşturabilir

    Açıklama: WebKit, document.cookie API'sında birden çok çerezin ayarlanmasını kabul ediyordu. Bu sorun, ayrıştırma işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3801: Facebook'tan Erling Ellingsen

  • WebKit

    İlgili işletim sistemleri: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 ve OS X El Capitan v10.11

    Etki: Performans API'sı, kötü amaçlı bir web sitesinin; tarama geçmişi, ağ etkinliği ve fare hareketlerini sızdırmasına izin verebilir

    Açıklama: WebKit'in Performance API'sı, kötü amaçlı bir web sitesinin, zamanı ölçerek tarama geçmişi, ağ etkinliği ve fare hareketlerini sızdırmasına izin verebiliyordu. Bu sorun, zaman çözünürlüğü sınırlandırılarak giderildi.

    CVE kimliği

    CVE-2015-5825: Columbia Üniversitesi Ağ Güvenliği Laboratuvarı'ndan Yossi Oren et al.

  • WebKit

    İlgili işletim sistemleri: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 ve OS X El Capitan v10.11

    Etki: Kötü amaçlı bir web sitesinin ziyaret edilmesi, istemeden numara çevirmeye neden olabilir

    Açıklama: tel://, facetime:// ve facetime-audio:// URL'lerinin işlenmesinde bir sorun vardı. Bu sorun, URL'lerin işlenme süreci iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5820: Guillaume Ross, Andrei Neculaesei

  • WebKit CSS

    İlgili işletim sistemleri: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 ve OS X El Capitan v10.11

    Etki: Kötü amaçlı bir web sitesi kaynaklar arasında veri çalabilir

    Açıklama: Safari, CSS olmayan MIME türleriyle birlikte çapraz kaynaklı stil sayfalarının yüklenmesine izin veriyordu. Bu durum kaynaklar arasında verilerin çalınması için kullanılabiliyordu. Bu sorun, çapraz kaynaklı stil sayfalarının MIME türleri sınırlandırılarak çözüldü.

    CVE kimliği

    CVE-2015-5826: filedescriptior, Chris Evans

  • WebKit JavaScript Bağları

    İlgili işletim sistemleri: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 ve OS X El Capitan v10.11

    Etki: Nesne referansları; özel etkinlikler, ileti etkinlikleri ve açılma durumu ayarlı etkinliklerde bazı kaynaklar arasında sızdırılabilir

    Açıklama: Bir nesne sızıntısı sorunu, kaynaklar arasındaki ayırma sınırını geçersiz kılıyordu. Bu sorun, kaynak ayırma işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-5827: Gildas

  • WebKit Sayfa Yüklemesi

    İlgili işletim sistemleri: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 ve OS X El Capitan v10.11

    Etki: WebSockets, karışık içerik politikası uygulamasını yok sayabilir

    Açıklama: Yetersiz politika uygulaması sorunu, WebSockets'ın karışık içerik yüklemesine izin veriyordu. Karışık içerik politika uygulaması, WebSockets'a genişletilerek sorun giderildi.

    Higher Logic'ten Kevin G. Jones

  • WebKit Yazılım Ekleri

    İlgili işletim sistemleri: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 ve OS X El Capitan v10.11

    Etki: Safari yazılım ekleri, isteğin yönlendirilmiş olduğunu bilmeden HTTP isteği gönderebilir

    Açıklama: Safari yazılım ekleri API'sı, yazılım eklerine sunucu tarafında bir yönlendirme gerçekleştiği bilgisini vermiyordu. Bu durum yetkisiz isteklere yol açabiliyordu. API desteği iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5828: Lorenzo Fontana

FaceTime her ülkede veya bölgede kullanılamaz.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: