Apple、OS X 10.10~10.8向けにSafari 8.0.6/7.1.6/6.2.6をリリース。Webkitの脆弱性を複数修正。

スポンサーリンク

 AppleがOS X 10.10~10.8向けにSafari 8.0.6/7.1.6/6.2.6をリリースしています。詳細は以下から。


Safar806-Hero


 AppleはOS X 10.10.3 Yosemite向けにSafari 8.0.6、OS X 10.9.5 Mavericks向けにSafari 7.1.6、OS X 10.8.5向けにSafari 6.2.6を公開しています。アップデート内容はWebkitの脆弱性で「メモリ破損の脆弱性」「悪意のあるWebサイトにアクセスするとファイルシステム上のユーザー情報を損なう可能性」「悪意のあるWebサイトにアクセスするとUIのなりすましが起こる可能性」の3つが挙げられています。

Safari 8.0.6, Safari 7.1.6, and Safari 6.2.6


・WebKit

Available for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, and OS X Yosemite v10.10.3
Impact: Visiting a maliciously crafted website may lead to an unexpected application termination or arbitrary code execution
Description: Multiple memory corruption issues existed in WebKit. These issues were addressed through improved memory handling.

CVE-ID
CVE-2015-1152 : Apple
CVE-2015-1153 : Apple
CVE-2015-1154 : Apple


・WebKit History

Available for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, and OS X Yosemite v10.10.3
Impact: Visiting a maliciously crafted website may compromise user information on the filesystem
Description: A state management issue existed in Safari that allowed unprivileged origins to access contents on the filesystem. This issue was addressed through improved state management.

CVE-ID
CVE-2015-1155 : Joe Vennix of Rapid7 Inc. working with HP’s Zero Day Initiative


・WebKit Page Loading

Available for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, and OS X Yosemite v10.10.3
Impact: Visiting a malicious website by clicking a link may lead to user interface spoofing
Description: An issue existed in the handling of the rel attribute in anchor elements. Target objects could get unauthorized access to link objects. This issue was addressed through improved link type adherence.

CVE-ID
CVE-2015-1156 : Zachary Durber of Moodle
[About the security content of Safari 8.0.6, Safari 7.1.6, and Safari 6.2.6 – Apple Support]

 まだAppleのダウンロードサイトには登録されていませんが、Mac App Storeでは既に配布が始まっています。


Safari-806-for-Yosemite

関連リンク:
Downloads – Apple

About the security content of Safari 8.0.6, Safari 7.1.6, and Safari 6.2.6 – Apple

コメント

  1. Apple7743 より:

    ios版webkitの言及が無いけど、問題無しってことはないよな。
    もうそろそろ詰まらない縛りはやめてくれんかなー。

  2. Apple7743 より:

    Intel CPU 依存の攻撃なので iOS は無問題

  3. Apple7743 より:

    CPU依存とは書いていないね。確保したメモリの領域が重なるなどして異常終了の原因になるようだし。
    箱庭のiOS だと影響が出にくいから対策が後回しになってると想像。