Read Time:8 Minute, 48 Second
しています・Safari 8.0.6、Safari 7.1.6、および Safari 6.2.6 のセキュリティコンテンツについて
OS X 向けのソフトウェア・アップデートに含まれる Safari 8 のアップデート履歴になります。
情報弱者にならないための Safari 関連記事一覧
Safari 8.0.8、Safari 7.1.8、および Safari 6.2.8
1.Safari
対象
OS X 10.8.5 Mountain Lion、OS X 10.9.5 Mavericks、OS X 10.10.4 Yosemite
影響
悪意のある Web サイトにアクセスすると、UI(ユーザインターフェイス)を偽装される可能性がある問題。
説明
- 悪意のある Web サイトがほかのサイトを開き、プロンプトの出所をユーザに知らせることなく、ユーザに入力を求める可能性があります。
- この問題はユーザにプロンプトの出所を表示することで解決siteimasu.
CVE – ID
CVE – 2015 – 3729:VulnHunt.com のコード監査ラボ
2.WebKit
対象
OS X 10.8.5 Mountain Lion、OS X 10.9.5 Mavericks、OS X 10.10.4 Yosemite
影響
細工を施された Web サイトを閲覧すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある問題。
説明
WebKit にメモリ破損の脆弱性が複数存在する問題はメモリ処理を改善することで解決
CVE – ID
- CVE – 2015 – 3730:Apple
- CVE – 2015 – 3731:Apple
- CVE – 2015 – 3732:Apple
- CVE – 2015 – 3733:Apple
- CVE – 2015 – 3734:Apple
- CVE – 2015 – 3735:Apple
- CVE – 2015 – 3736:Apple
- CVE – 2015 – 3737:Apple
- CVE – 2015 – 3738:Apple
- CVE – 2015 – 3739:Apple
- CVE – 2015 – 3740:Apple
- CVE – 2015 – 3741:Apple
- CVE – 2015 – 3742:Apple
- CVE – 2015 – 3743:Apple
- CVE – 2015 – 3744:Apple
- CVE – 2015 – 3745:Apple
- CVE – 2015 – 3746:Apple
- CVE – 2015 – 3747:Apple
- CVE – 2015 – 3748:Apple
- CVE – 2015 – 3749:Apple
2.WebKit
対象
OS X 10.8.5 Mountain Lion、OS X 10.9.5 Mavericks、OS X 10.10.4 Yosemite
影響
悪意のある Web サイトが、HTTP Strict Transport Security のオリジンにプレーンテキストリクエストをトリガする可能性がある問題。
説明
WebKit にメモリ破損の脆弱性が複数存在する問題はメモリ処理を改善することで解決
- コンテンツセキュリティポリシーレポートリクエストが HTTP Strict Transport Security を承認しない脆弱性が存在します。
- この問題は HTTP Strict Transport Security の実施を強化することで解消しています。
CVE – ID
CVE – 2015 – 3750:Muneaki Nishimura 氏(nishimunea)
3.WebKit
対象
OS X 10.8.5 Mountain Lion、OS X 10.9.5 Mavericks、OS X 10.10.4 Yosemite
影響
イメージの読み込みが Web サイトのコンテンツセキュリティポリシーの指示に違反する可能性がある問題。
説明
WebKit にメモリ破損の脆弱性が複数存在する問題はメモリ処理を改善することで解決
- ビデオコントロールを保持する Web サイトが、Web サイトのコンテンツセキュリティポリシーの指示に違反して、オブジェクト要素にネストされたイメージを読み込む脆弱性が存在します。
- この問題はコンテンツセキュリティポリシーの実施を強化することで解決しています。
CVE – ID
CVE – 2015 – 3751:Muneaki Nishimura 氏(nishimunea)
3.WebKit
対象
OS X 10.8.5 Mountain Lion、OS X 10.9.5 Mavericks、OS X 10.10.4 Yosemite
影響
コンテンツセキュリティポリシーレポートリクエストから Cookie が漏れる可能性がある問題。
説明
- コンテンツセキュリティポリシーレポートリクエストへの Cookie の追加方法に問題が 2 つ存在します。
- Cookie が標準に違反してクロスオリジンレポートリクエストで送信されました。
- 通常のブラウジングで設定された Cookie がプライベートブラウジングで送信されました。
- これらの問題は Cookie 処理を強化することで解決しています。
CVE – ID
CVE – 2015 – 3752:Muneaki Nishimura 氏(nishimunea)
4.WebKit キャンバス
対象
OS X 10.8.5 Mountain Lion、OS X 10.9.5 Mavericks、OS X 10.10.4 Yosemite
影響
悪意のある Web サイトが、イメージデータのクロスオリジンを盗み出す可能性がある問題。
説明
データイメージリソースにリダイレクトする URL から取得したイメージが、盗み出されたクロスオリジンである可能性がある問題はキャンバスの感染追跡機能を強化することで解決。
CVE – ID
CVE – 2015 – 3753:Adobe の Antonio Sanso 氏および Damien Antipa 氏
4.WebKit ページの読み込み
対象
OS X 10.8.5 Mountain Lion、OS X 10.9.5 Mavericks、OS X 10.10.4 Yosemite
影響
キャッシュされた認証のステータスによってプライベートブラウズ履歴が漏洩する可能性がある問題。
説明
- HTTP 認証のキャッシュに問題が存在しており、プライベートブラウズモードで入力された資格情報は通常のブラウジングに引き継がれます。
- これにより、ユーザのプライベートブラウズ履歴の一部が漏洩する可能性があります。
- この問題はキャッシュ制限を強化することで解決しています。
CVE – ID
CVE – 2015 – 3754:Dongsung Kim 氏(@kid1ng)
5.WebKit プロセスモデル
対象
OS X 10.8.5 Mountain Lion、OS X 10.9.5 Mavericks、OS X 10.10.4 Yosemite
影響
悪意のある Web サイトにアクセスすると、UI(ユーザインターフェイス)を偽装される可能性がある問題。
説明
無効な URL に移動すると、悪意のある Web サイトに任意の URL が表示される可能性があります。
- 無効な URL に移動すると、悪意のある Web サイトに任意の URL が表示される可能性があります。
- この問題は URL 処理を改善することで解決しています。
CVE – ID
CVE – 2015 – 3755:Tencent の Xuanwu Lab 氏の xisigr
Safari 8.0.7、Safari 7.1.7、および Safari 6.2.7
1.WebKit
対象
OS X 10.8.5 Mountain Lion、OS X 10.9.5 Mavericks、OS X 10.10.3 Yosemite
影響
巧妙に細工された Web サイトが、ほかの Web サイトの WebSQL にアクセスできる問題。
説明
- WebSQL テーブルの名前の変更操作における認証チェックに脆弱性が存在します。
- 巧妙に細工された Web サイトにこの脆弱性を悪用され、ほかの Web サイトに属するデータベースにアクセスされる可能性がありました。
- この問題は、認証チェックを強化することで解決しています。
CVE – ID
CVE – 2015 – 3727:HP の Zero Day Initiative に協力する Peter Rutenbar 氏
2.WebKit ページの読み込み
対象
OS X 10.8.5 Mountain Lion、OS X 10.9.5 Mavericks、OS X 10.10.3 Yosemite
影響
巧妙に細工された Web サイトにアクセスすると、アカウントを乗っ取られる可能性がある問題。
説明
- Safari がクロスオリジンのリダイレクトについて Origin リクエストヘッダを維持する脆弱性が存在し、巧妙に細工された Web サイトに悪用され、CSRF 対策を回避される可能性がありました。されました。
- この問題は、リダイレクト処理を改善することで解決しています。
CVE – ID
CVE – 2015 – 3658:Facebook の Brad Hill 氏
3.WWebKit PDF
対象
OS X 10.8.5 Mountain Lion、OS X 10.9.5 Mavericks、OS X 10.10.3 Yosemite
影響
Web ページに埋め込まれた PDF 中の巧妙に細工されたリンクをクリックすると、Cookie を盗まれたり個人情報が漏洩したりする可能性がある問題。
説明
- PDF に埋め込まれたリンクの脆弱性を悪用され、ホストしている Web ページのコンテキストで JavaScript を実行される可能性がありました。
- この問題は、JavaScript リンクのサポートを制限することで解決しています。
CVE – ID
CVE – 2015 – 3660:Apple
4.WebKit ストレージ
対象
OS X 10.8.5 Mountain Lion、OS X 10.9.5 Mavericks、OS X 10.10.3 Yosemite
影響
巧妙に細工された Web ページにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある問題。
説明
- SQLite authorizer において比較演算が適切を欠く脆弱性が存在し、これを悪用され、任意の SQL 関数を呼び出される可能性があります。
- この問題は、認証チェックを強化することで解決しています。
CVE – ID
CVE – 2015 – 3659:HP の Zero Day Initiative に協力する Peter Rutenbar 氏
Safari 8.0.6、Safari 7.1.6、および Safari 6.2.6
1.WebKit
対象
OS X 10.8.5 Mountain Lion、OS X 10.9.5 Mavericks、OS X 10.10.3 Yosemite
影響
細工を施された Web サイトを閲覧すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある問題。
説明
WebKit にメモリ破損の脆弱性が複数存在する問題はメモリ処理を改善することで解決
CVE – ID
- CVE – 2015 – 1152:Apple
- CVE – 2015 – 1153:Apple
- CVE – 2015 – 1154:Apple
2.WebKit の履歴
対象
OS X 10.8.5 Mountain Lion、OS X 10.9.5 Mavericks、OS X 10.10.3 Yosemite
影響
悪意を持って作成された Web サイトによって、ファイルシステム上のユーザ情報に不正にアクセスされる可能性がある問題。
説明
- Safari にステータス管理の脆弱性が存在し、権限のないオリジンがファイルシステム上のコンテンツにアクセスできる可能性があります。
- この問題はステータス管理を改善したことで解消しています。
CVE – ID
CVE – 2015 – 1155:HP の Zero Day Initiative に協力する Rapid7 Inc. の Joe Vennix 氏
3.WebKit ページの読み込み
対象
OS X 10.8.5 Mountain Lion、OS X 10.9.5 Mavericks、OS X 10.10.3 Yosemite
影響
リンクをクリックして悪意のある Web サイトにアクセスすると、UI(ユーザインターフェイス)が偽装される可能性がある問題。
説明
- アンカー要素の rel 属性の処理に問題が存在します。
- ターゲットオブジェクトが権限を与えられていないリンクオブジェクトにアクセスできる可能性がある問題はリンクタイプの順守を強化したことで解決しています。
CVE – ID
CVE – 2015 – 1156:Moodle の Zachary Durber 氏
Safari 8.0.5、Safari 7.1.5、および Safari 6.2.5
1.Safari
対象
OS X 10.8.5 Mountain Lion、OS X 10.9.5 Mavericks、OS X 10.10.2 Yosemite
影響
クライアント証明書を使った悪意のある Web サイトにユーザが追跡される可能性がある問題。
説明
- Safari で、SSL 認証のためのクライアント証明書の照合に問題が存在します。
- この問題は、有効なクライアント証明書の照合を強化することで解消しています。
CVE – ID
CVE – 2015 – 1129 : fluid Operations AG の Stefan Kraus 氏、Whatever s.a. の Sylvain Munaut 氏
2.Safari
対象
OS X 10.8.5 Mountain Lion、OS X 10.9.5 Mavericks、OS X 10.10.2 Yosemite
影響
通知の環境設定によって、プライベートブラウズモードでのユーザーのブラウズ履歴が表示される可能性がある問題。
説明
- プライベートブラウズモードでプッシュ通知リクエストに対応すると、ユーザのブラウズ履歴が表示されます。
- この問題は、プライベートブラウズモードでのプッシュ通知についての確認を切にすることで解消しています。
CVE – ID
CVE – 2015 – 1128 : Credit Union Geek の Joseph Winn 氏
3.Safari
対象
OS X 10.8.5 Mountain Lion、OS X 10.9.5 Mavericks、OS X 10.10.2 Yosemite
影響
ユーザーのブラウズ履歴が完全に消去されない可能性がある問題。
説明
- Safari で、ユーザーのブラウズ履歴が History.plist から消去されない原因となった、ステータス管理の脆弱性が存在します。
- この問題はステータス管理を改善したことで解消しています。
CVE – ID
CVE – 2015 – 1112 : オランダの William Breuer 氏
4.WebKit
対象
OS X 10.8.5 Mountain Lion、OS X 10.9.5 Mavericks、OS X 10.10.2 Yosemite
影響
細工を施された Web サイトを閲覧すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある問題。
説明
WebKit にメモリ破損の脆弱性が複数存在していた問題はメモリ処理を改善することで解決
CVE – ID
- CVE – 2015 – 1119:セゲド大学の Renata Hodovan 氏/Samsung Electronics
- CVE – 2015 – 1120:Apple
- CVE – 2015 – 1121:Apple
- CVE – 2015 – 1122:Apple
- CVE – 2015 – 1124:Apple
5.WebKit
対象
OS X 10.8.5 Mountain Lion、OS X 10.9.5 Mavericks、OS X 10.10.2 Yosemite
影響
プライベートモードでのユーザーのブラウズ履歴がインデックス作成される可能性がある問題。
説明
- Safari で、プライベートブラウズモードでのユーザーのブラウズ履歴が誤ってインデックス作成される原因となった、ステータス管理の脆弱性が存在します。
- この問題はステータス管理を改善したことで解消しています。
CVE – ID
CVE – 2015 – 1127:Tyler C
6.WebKit
対象
OS X 10.8.5 Mountain Lion、OS X 10.9.5 Mavericks、OS X 10.10.2 Yosemite
影響
悪意を持って作成された Web サイトにアクセスすると、別の発信元のリソースにアクセスされる可能性がある問題。
説明
- FTP URL に対する WebKit の資格情報処理に問題が存在します。
- この問題は URL のデコードを強化することで解消しています。
CVE – ID
CVE – 2015 – 1126:Klikki Oy の Jouko Pynnonen 氏
Safari 8.0.4、Safari 7.1.4、および Safari 6.2.4
1.Safari
対象
OS X 10.8.5 Mountain Lion、OS X 10.9.5 Mavericks、OS X 10.10.2 Yosemite
影響
細工を施された Web サイトを閲覧すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある問題。
説明
WebKit にメモリ破損の脆弱性が複数存在する問題はメモリ処理を改善することで解決
CVE – ID
- CVE – 2015 – 1068:Apple
- CVE – 2015 – 1069:Apple
- CVE – 2015 – 1070:Apple
- CVE – 2015 – 1071:Apple
- CVE – 2015 – 1072
- CVE – 2015 – 1073:Apple
- CVE – 2015 – 1074:Apple
- CVE – 2015 – 1075:Google Chrome Security team
- CVE – 2015 – 1076
- CVE – 2015 – 1077:Apple
- CVE – 2015 – 1078:Apple
- CVE – 2015 – 1079:Apple
- CVE – 2015 – 1080:Apple
- CVE – 2015 – 1081:Apple
- CVE – 2015 – 1082:Apple
- CVE – 2015 – 1083:Apple
2.WebKit
対象
OS X 10.8.5 Mountain Lion、OS X 10.9.5 Mavericks、OS X 10.10.2 Yosemite
影響
不統一な UI(ユーザインターフェイス)のため、ユーザはフィッシング攻撃を見分けにくい。
説明
- Safari では UI(ユーザインターフェイス)が不統一なため、攻撃者が URL を間違って表示することを許可していました。
- この問題は、UI(ユーザインターフェイス)の整合性チェックを改善することにより解決。
CVE – ID
CVE – 2015 – 1084:Apple
Safari 8.0.3、Safari 7.1.3、および Safari 6.2.3
1.WebKit
対象
OS X 10.8.5 Mountain Lion、OS X 10.9.5 Mavericks、OS X 10.10.1 Yosemite
影響
細工を施された Web サイトを閲覧すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある問題。
説明
WebKit にメモリ破損の脆弱性が複数存在する問題はメモリ処理を改善することで解決
CVE – ID
- CVE – 2014 – 4476:Apple
- CVE – 2014 – 4477:HP 社の Zero Day Initiative に協力する lokihardt@ASRT
- CVE – 2014 – 4479:Apple
Safari 8.0.2、Safari 7.1.2、および Safari 6.2.2
Safari 8.0.2、Safari 7.1.2、および Safari 6.2.2 には、Safari 8.0.1、Safari 7.1.1、および Safari 6.2.1 のセキュリティコンテンツが含まれています。
Safari 8.0.1、Safari 7.1.1、および Safari 6.2.1
1.WebKit
対象
OS X 10.8.5 Mountain Lion、OS X 10.9.5 Mavericks、OS X 10.10.1 Yosemite
影響
細工を施された Web サイトを閲覧すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある問題。
説明
WebKit にメモリ破損の脆弱性が複数存在する問題はメモリ処理を改善することで解決
CVE – ID
- CVE – 2014 – 4476:Apple
- CVE – 2014 – 4477:HP 社の Zero Day Initiative に協力する lokihardt@ASRT
- CVE – 2014 – 4479:Apple
Safari 8.0.1、Safari 7.1.1、および Safari 6.2.1
1.WebKit
対象
OS X 10.8.5 Mountain Lion、OS X 10.9.5 Mavericks、OS X 10.10.1 Yosemite
影響
スタイルシートがクロスオリジンで読み込まれ、データが流出する可能性がある問題。
説明
- img 要素で読み込まれた SVG が CSS ファイルをクロスオリジンで読み込む可能性があります。
- この問題は、外部 CSS 参照を SVG でブロックする機能を強化することで解決しています。
CVE – ID
CVE – 2014 – 4465:iSEC Partners の Rennie deGraaf 氏
2.WebKit
対象
OS X 10.8.5 Mountain Lion、OS X 10.9.5 Mavericks、OS X 10.10.1 Yosemite
影響
悪意のあるコンテンツが含まれる Web サイトを表示すると、UI が偽装される可能性がある問題。
説明
スクロールバーの境界の処理に、UI 偽装の脆弱性が存在スル問題は、配列境界チェック機能を改善することで解決しています。
CVE – ID
CVE – 2014 – 1748:Jordan Milne
3.WebKit
対象
OS X 10.8.5 Mountain Lion、OS X 10.9.5 Mavericks、OS X 10.10.1 Yosemite
影響
悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある問題。
説明
WebKit にメモリ破損の脆弱性が複数存在している問題はメモリ処理を改善することで解決
CVE – ID
CVE – 2014 – 4465:iSEC Partners の Rennie deGraaf 氏
- CVE – 2014 – 4452
- CVE – 2014 – 4459
- CVE – 2014 – 4466:Apple
- CVE – 2014 – 4468:Apple
- CVE – 2014 – 4469:Apple
- CVE – 2014 – 4470:Apple
- CVE – 2014 – 4471:Apple
- CVE – 2014 – 4472:Apple
- CVE – 2014 – 4473:Apple
- CVE – 2014 – 4474:Apple
- CVE – 2014 – 4475:Apple
関連リンク
- ・Safari 8.0.8、Safari 7.1.8、および Safari 6.2.8 のセキュリティコンテンツについて – Apple サポート:https://support.apple.com/ja-jp/HT205033
- ・Safari 8.0.7、Safari 7.1.7、および Safari 6.2.7 のセキュリティコンテンツについて:https://support.apple.com/ja-jp/HT204950
- ・Safari 8.0.6、Safari 7.1.6、および Safari 6.2.6 のセキュリティコンテンツについて – Apple サポート:https://support.apple.com/ja-jp/HT204826
- ・Safari 8.0.5、Safari 7.1.5、および Safari 6.2.5 のセキュリティコンテンツについて – Apple サポート:https://support.apple.com/ja-jp/HT204658
- ・Safari 8.0.4、Safari 7.1.4、および Safari 6.2.4 のセキュリティコンテンツについて – Apple サポート:https://support.apple.com/ja-jp/HT204560
- ・Safari 8.0.3、Safari 7.1.3、および Safari 6.2.3 のセキュリティコンテンツについて – Apple サポート:https://support.apple.com/ja-jp/HT204243
- ・Safari 8.0.2、Safari 7.1.2、および Safari 6.2.2 のセキュリティコンテンツについて – Apple サポート:https://support.apple.com/ja-jp/HT204424
- ・Safari 8.0.1、Safari 7.1.1、および Safari 6.2.1 のセキュリティコンテンツについて – Apple サポート:https://support.apple.com/ja-jp/HT204421
- ・Safari – Apple(日本):https://www.apple.com/jp/safari/
- ・OS X Mountain Lion – Apple(日本):https://www.apple.com/jp/shop/product/D6377J/A/os-x-mountain-lion/li>
- ・OS X Lion – Apple(日本):https://www.apple.com/jp/shop/product/D6106Z/A/os-x-lion
- ・Mac – Apple(日本):https://www.apple.com/jp/mac/
- ・Apple(日本):https://www.apple.com/jp/
: