Safari 8.0.8、Safari 7.1.8、および Safari 6.2.8 のセキュリティコンテンツについて

Safari 8.0.8、Safari 7.1.8、および Safari 6.2.8 のセキュリティコンテンツについて説明します。

Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては、「Apple 製品のセキュリティ」Web サイトを参照してください。

Apple Product Security PGP キーについては、こちらの記事を参照してください。

CVE ID を使って脆弱性を調べることもできます。

その他のセキュリティアップデートについては、こちらの記事を参照してください。

Safari 8.0.8、Safari 7.1.8、および Safari 6.2.8

  • Safari アプリケーション

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、および OS X Yosemite v10.10.4

    影響:悪意のある Web サイトにアクセスすると、ユーザインターフェイスを偽装される可能性がある。

    説明:悪意のある Web サイトがほかのサイトを開き、プロンプトの出所をユーザに知らせることなく、ユーザに入力を求める可能性があります。この問題はユーザにプロンプトの出所を表示することで解消されました。

    CVE-ID

    CVE-2015-3729:VulnHunt.com のコード監査ラボ

  • WebKit

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、および OS X Yosemite v10.10.4

    影響:細工を施された Web サイトを閲覧すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

    説明:WebKit にメモリ破損の脆弱性が複数存在します。この問題はメモリ処理を改善することで解決されました。

    CVE-ID

    CVE-2015-3730:Apple

    CVE-2015-3731:Apple

    CVE-2015-3732:Apple

    CVE-2015-3733:Apple

    CVE-2015-3734:Apple

    CVE-2015-3735:Apple

    CVE-2015-3736:Apple

    CVE-2015-3737:Apple

    CVE-2015-3738:Apple

    CVE-2015-3739:Apple

    CVE-2015-3740:Apple

    CVE-2015-3741:Apple

    CVE-2015-3742:Apple

    CVE-2015-3743:Apple

    CVE-2015-3744:Apple

    CVE-2015-3745:Apple

    CVE-2015-3746:Apple

    CVE-2015-3747:Apple

    CVE-2015-3748:Apple

    CVE-2015-3749:Apple

  • WebKit

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、および OS X Yosemite v10.10.4

    影響:悪意のある Web サイトが、HTTP Strict Transport Security のオリジンにプレーンテキストリクエストをトリガする可能性がある。

    説明:コンテンツセキュリティポリシーレポートリクエストが HTTP Strict Transport Security を承認しない脆弱性が存在します。この問題は HTTP Strict Transport Security の実施を強化することで解消されました。

    CVE-ID

    CVE-2015-3750:Muneaki Nishimura 氏 (nishimunea)

  • WebKit

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、および OS X Yosemite v10.10.4

    影響:イメージの読み込みが Web サイトのコンテンツセキュリティポリシーの指示に違反する可能性がある。

    説明:ビデオコントロールを保持する Web サイトが、Web サイトのコンテンツセキュリティポリシーの指示に違反して、オブジェクト要素にネストされたイメージを読み込む脆弱性が存在します。この問題はコンテンツセキュリティポリシーの実施を強化することで解決されました。

    CVE-ID

    CVE-2015-3751:Muneaki Nishimura 氏 (nishimunea)

  • WebKit

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、および OS X Yosemite v10.10.4

    影響:コンテンツセキュリティポリシーレポートリクエストから Cookie が漏れる可能性がある。

    説明:コンテンツセキュリティポリシーレポートリクエストへの Cookie の追加方法に問題が 2 つ存在します。Cookie が標準に違反してクロスオリジンレポートリクエストで送信されました。通常のブラウジングで設定された Cookie がプライベートブラウジングで送信されました。これらの問題は Cookie 処理を強化することで解決されました。

    CVE-ID

    CVE-2015-3752:Muneaki Nishimura 氏 (nishimunea)

  • WebKit キャンバス

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、および OS X Yosemite v10.10.4

    影響:悪意のある Web サイトが、イメージデータのクロスオリジンを盗み出す可能性がある。

    説明:データイメージリソースにリダイレクトする URL から取得したイメージが、盗み出されたクロスオリジンである可能性があります。この問題はキャンバスの感染追跡機能を強化することで解決されました。

    CVE-ID

    CVE-2015-3753:Adobe の Antonio Sanso 氏および Damien Antipa 氏

  • WebKit ページの読み込み

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、および OS X Yosemite v10.10.4

    影響:キャッシュされた認証のステータスによってプライベートブラウズ履歴が漏洩する可能性がある。

    説明:HTTP 認証のキャッシュに問題が存在します。プライベートブラウズモードで入力された資格情報は通常のブラウジングに引き継がれます。これにより、ユーザのプライベートブラウズ履歴の一部が漏洩する可能性があります。この問題はキャッシュ制限を強化することで解決されました。

    CVE-ID

    CVE-2015-3754:Dongsung Kim 氏 (@kid1ng)

  • WebKit プロセスモデル

    対象 OS:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、および OS X Yosemite v10.10.4

    影響:悪意のある Web サイトにアクセスすると、ユーザインターフェイスを偽装される可能性がある。

    説明:無効な URL に移動すると、悪意のある Web サイトに任意の URL が表示される可能性があります。この問題は URL 処理を改善することで解決されました。

    CVE-ID

    CVE-2015-3755:Tencent の Xuanwu Lab 氏の xisigr

Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。

公開日: