À propos des correctifs de sécurité de Safari 6

Ce document décrit les correctifs de sécurité de Safari 6.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été réalisée et que des correctifs ou mises à jour ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site Web Sécurité produit d’Apple.

Pour obtenir des informations sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article « Comment utiliser la clé PGP du groupe de sécurité produit d’Apple ».

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations supplémentaires sur les autres mises à jour de sécurité, consultez l’article « Mises à jour de sécurité Apple ».

Safari 6.0

  • Safari

    Disponible pour : OS X Lion 10.7.4 et OS X Lion Server 10.7.4

    Conséquence : la consultation d’un site Web malveillant peut entraîner une attaque de scriptage intersites.

    Description : la gestion des URL de flux:// présente un problème de scriptage intersites. Cette mise à jour supprime la gestion des URL de flux://.

    Référence CVE

    CVE-2012-0678 : Masato Kinugawa.

  • Safari

    Disponible pour : OS X Lion 10.7.4 et OS X Lion Server 10.7.4

    Conséquence : la consultation d’un site Web construit de manière malveillante peut entraîner l’envoi de fichiers du système de l’utilisateur vers un serveur distant.

    Description : la gestion des URL de flux:// présente un problème de contrôle d’accès. Cette mise à jour supprime la gestion des URL de flux://.

    Référence CVE

    CVE-2012-0679 : Aaron Sigel de vtty.com.

  • Safari

    Disponible pour : OS X Lion 10.7.4 et OS X Lion Server 10.7.4

    Conséquence : les mots de passe peuvent être renseignés automatiquement, même si le site spécifie la désactivation du remplissage automatique.

    Description : les éléments de saisie de mots de passe dont l’attribut de remplissage automatique était défini sur « off » sont renseignés automatiquement. Cette mise à jour corrige le problème en améliorant la gestion de l’attribut de remplissage automatique.

    Référence CVE

    CVE-2012-0680 : Dan Poltawski de Moodle.

  • Téléchargements Safari

    Disponible pour : OS X Lion 10.7.4 et OS X Lion Server 10.7.4

    Conséquence : l’ouverture de fichiers conçus de manière malveillante sur certains sites Web peut entraîner une attaque de script intersites.

    Description : la prise en charge de la valeur « attachment » pour l’en-tête de disposition de contenu HTTP de Safari présente un problème. Cet en-tête est utilisé par de nombreux sites Web pour proposer des fichiers téléchargés par des tiers, tels que des pièces jointes incluses dans des applications de messagerie électronique Web. Les scripts présents dans des fichiers proposés avec cet en-tête peuvent s’exécuter comme si le fichier avait été proposé en ligne, avec accès complet à d’autres ressources du serveur d’origine. Ce problème est corrigé par le téléchargement de ressources hébergées avec cet en-tête, plutôt que leur affichage intégré.

    Référence CVE

    CVE-2011-3426 : Mickey Shkatov de laplinker.com, Kyle Osborn, Hidetake Jo chez Microsoft et Microsoft Vulnerability Research (MSVR).

  • WebKit

    Disponible pour : OS X Lion 10.7.4 et OS X Lion Server 10.7.4

    Conséquence : la consultation d’un site Web malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Description : WebKit présente plusieurs problèmes de corruption de la mémoire. Ces problèmes sont résolus par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2011-3016 : miaubiz.

    CVE-2011-3021 : Arthur Gerkis.

    CVE-2011-3027 : miaubiz.

    CVE-2011-3032 : Arthur Gerkis.

    CVE-2011-3034 : Arthur Gerkis.

    CVE-2011-3035 : wushi de team509 en collaboration avec iDefense VCP, Arthur Gerkis.

    CVE-2011-3036 : miaubiz.

    CVE-2011-3037 : miaubiz.

    CVE-2011-3038 : miaubiz.

    CVE-2011-3039 : miaubiz.

    CVE-2011-3040 : miaubiz.

    CVE-2011-3041 : miaubiz.

    CVE-2011-3042 : miaubiz.

    CVE-2011-3043 : miaubiz.

    CVE-2011-3044 : Arthur Gerkis.

    CVE-2011-3050 : miaubiz.

    CVE-2011-3053 : miaubiz.

    CVE-2011-3059 : Arthur Gerkis.

    CVE-2011-3060 : miaubiz.

    CVE-2011-3064 : Atte Kettunen d’OUSPG.

    CVE-2011-3068 : miaubiz.

    CVE-2011-3069 : miaubiz.

    CVE-2011-3071 : pa_kt en collaboration avec Zero Day Initiative de HP.

    CVE-2011-3073 : Arthur Gerkis.

    CVE-2011-3074 : Slawomir Blazek.

    CVE-2011-3075 : miaubiz.

    CVE-2011-3076 : miaubiz.

    CVE-2011-3078 : Martin Barbella de l’équipe de sécurité de Google Chrome.

    CVE-2011-3081 : miaubiz.

    CVE-2011-3086 : Arthur Gerkis.

    CVE-2011-3089 : Skylined de l’équipe de sécurité de Google Chrome, miaubiz.

    CVE-2011-3090 : Arthur Gerkis.

    CVE-2011-3913 : Arthur Gerkis.

    CVE-2011-3924 : Arthur Gerkis.

    CVE-2011-3926 : Arthur Gerkis.

    CVE-2011-3958 : miaubiz.

    CVE-2011-3966 : Aki Helin d’OUSPG.

    CVE-2011-3968 : Arthur Gerkis.

    CVE-2011-3969 : Arthur Gerkis.

    CVE-2011-3971 : Arthur Gerkis.

    CVE-2012-0682 : sécurité produit d’Apple.

    CVE-2012-0683 : Dave Mandelin de Mozilla.

    CVE-2012-1520 : Martin Barbella de l’équipe de sécurité de Google Chrome à l’aide d’AddressSanitizer, Jose A. Vazquez de spa-s3c.blogspot.com en collaboration avec iDefense VCP.

    CVE-2012-1521 : Skylined de l’équipe de sécurité de Google Chrome, Jose A. Vazquez de spa-s3c.blogspot.com en collaboration avec iDefense VCP.

    CVE-2012-3589 : Dave Mandelin de Mozilla.

    CVE-2012-3590 : sécurité produit d’Apple.

    CVE-2012-3591 : sécurité produit d’Apple.

    CVE-2012-3592 : sécurité produit d’Apple.

    CVE-2012-3593 : sécurité produit d’Apple.

    CVE-2012-3594 : miaubiz.

    CVE-2012-3595 : Martin Barbella de l’équipe de sécurité de Google Chrome.

    CVE-2012-3596 : Skylined de l’équipe de sécurité de Google Chrome.

    CVE-2012-3597 : Abhishek Arya de l’équipe de sécurité de Google Chrome à l’aide d’AddressSanitizer.

    CVE-2012-3599 : Abhishek Arya de l’équipe de sécurité de Google Chrome à l’aide d’AddressSanitizer.

    CVE-2012-3600 : David Levin de la communauté de développement de Chromium.

    CVE-2012-3603 : sécurité produit d’Apple.

    CVE-2012-3604 : Skylined de l’équipe de sécurité de Google Chrome.

    CVE-2012-3605 : Cris Neckar de l’équipe de sécurité de Google Chrome.

    CVE-2012-3608 : Skylined de l’équipe de sécurité de Google Chrome.

    CVE-2012-3609 : Skylined de l’équipe de sécurité de Google Chrome.

    CVE-2012-3610 : Skylined de l’équipe de sécurité de Google Chrome.

    CVE-2012-3611 : sécurité produit d’Apple.

    CVE-2012-3615 : Stephen Chenney de la communauté de développement de Chromium.

    CVE-2012-3618 : Abhishek Arya de l’équipe de sécurité de Google Chrome à l’aide d’AddressSanitizer.

    CVE-2012-3620 : Abhishek Arya de l’équipe de sécurité de Google Chrome.

    CVE-2012-3625 : Skylined de l’équipe de sécurité de Google Chrome.

    CVE-2012-3626 : sécurité produit d’Apple.

    CVE-2012-3627 : Skylined et Abhishek Arya de l’équipe de sécurité de Google Chrome.

    CVE-2012-3628 : sécurité produit d’Apple.

    CVE-2012-3629 : Abhishek Arya de l’équipe de sécurité de Google Chrome à l’aide d’AddressSanitizer.

    CVE-2012-3630 : Abhishek Arya de l’équipe de sécurité de Google Chrome à l’aide d’AddressSanitizer.

    CVE-2012-3631 : Abhishek Arya de l’équipe de sécurité de Google Chrome à l’aide d’AddressSanitizer.

    CVE-2012-3633 : Martin Barbella de l’équipe de sécurité de Google Chrome à l’aide d’AddressSanitizer.

    CVE-2012-3634 : Martin Barbella de l’équipe de sécurité de Google Chrome à l’aide d’AddressSanitizer.

    CVE-2012-3635 : Martin Barbella de l’équipe de sécurité de Google Chrome à l’aide d’AddressSanitizer.

    CVE-2012-3636 : Martin Barbella de l’équipe de sécurité de Google Chrome à l’aide d’AddressSanitizer.

    CVE-2012-3637 : Martin Barbella de l’équipe de sécurité de Google Chrome à l’aide d’AddressSanitizer.

    CVE-2012-3638 : Martin Barbella de l’équipe de sécurité de Google Chrome à l’aide d’AddressSanitizer.

    CVE-2012-3639 : Martin Barbella de l’équipe de sécurité de Google Chrome à l’aide d’AddressSanitizer.

    CVE-2012-3640 : miaubiz.

    CVE-2012-3641 : Slawomir Blazek.

    CVE-2012-3642 : miaubiz.

    CVE-2012-3644 : miaubiz.

    CVE-2012-3645 : Martin Barbella de l’équipe de sécurité de Google Chrome à l’aide d’AddressSanitizer.

    CVE-2012-3646 : Julien Chaffraix de la communauté de développement de Chromium, Martin Barbella de l’équipe de sécurité de Google Chrome à l’aide d’AddressSanitizer.

    CVE-2012-3653 : Martin Barbella de l’équipe de sécurité de Google Chrome à l’aide d’AddressSanitizer.

    CVE-2012-3655 : Skylined de l’équipe de sécurité de Google Chrome.

    CVE-2012-3656 : Abhishek Arya de l’équipe de sécurité de Google Chrome à l’aide d’AddressSanitizer.

    CVE-2012-3661 : sécurité produit d’Apple.

    CVE-2012-3663 : Skylined de l’équipe de sécurité de Google Chrome.

    CVE-2012-3664 : Thomas Sepez de la communauté de développement de Chromium.

    CVE-2012-3665 : Martin Barbella de l’équipe de sécurité de Google Chrome à l’aide d’AddressSanitizer.

    CVE-2012-3666 : Apple.

    CVE-2012-3667 : Trevor Squires de propaneapp.com.

    CVE-2012-3668 : sécurité produit d’Apple.

    CVE-2012-3669 : sécurité produit d’Apple.

    CVE-2012-3670 : Abhishek Arya de l’équipe de sécurité de Google Chrome à l’aide d’AddressSanitizer, Arthur Gerkis.

    CVE-2012-3674 : Skylined de l’équipe de sécurité de Google Chrome.

    CVE-2012-3678 : sécurité produit d’Apple.

    CVE-2012-3679 : Chris Leary de Mozilla.

    CVE-2012-3680 : Skylined de l’équipe de sécurité de Google Chrome.

    CVE-2012-3681 : Apple.

    CVE-2012-3682 : Adam Barth de l’équipe de sécurité de Google Chrome.

    CVE-2012-3683 : wushi de team509 travaillant avec iDefense VCP.

    CVE-2012-3686 : Robin Cao de Torch Mobile (Pékin).

  • WebKit

    Disponible pour : OS X Lion 10.7.4 et OS X Lion Server 10.7.4

    Conséquence : le fait de glisser-déposer un texte sélectionné sur une page Web peut conduire à une divulgation d’informations intersites.

    Description : la gestion du glisser-déposer présente un problème d’origines multiples. Ce problème est résolu par un meilleur suivi de l’origine.

    Référence CVE

    CVE-2012-3689 : David Bloom de Cue.

  • WebKit

    Disponible pour : OS X Lion 10.7.4 et OS X Lion Server 10.7.4

    Conséquence : le fait de glisser-déposer un texte sélectionné sur une page Web peut entraîner l’envoi de fichiers du système de l’utilisateur vers un serveur distant.

    Description : la gestion du glisser-déposer présente un problème de contrôle d’accès. Ce problème est résolu par un meilleur suivi de l’origine.

    Référence CVE

    CVE-2012-3690 : David Bloom de Cue.

  • WebKit

    Disponible pour : OS X Lion 10.7.4 et OS X Lion Server 10.7.4

    Conséquence : la consultation d’un site Web conçu de manière malveillante peut entraîner une divulgation d’informations intersites.

    Description : la gestion des valeurs de propriétés CSS présente un problème lié à des origines multiples. Ce problème est résolu par un meilleur suivi de l’origine.

    Référence CVE

    CVE-2012-3691 : Apple.

  • WebKit

    Disponible pour : OS X Lion 10.7.4 et OS X Lion Server 10.7.4

    Conséquence : un site Web malveillant peut remplacer les contenus d’un iframe sur un autre site.

    Description : la gestion des iframes dans des fenêtres contextuelles présente un problème lié à des origines multiples. Ce problème est résolu par un meilleur suivi de l’origine.

    Référence CVE

    CVE-2011-3067 : Sergey Glazunov.

  • WebKit

    Disponible pour : OS X Lion 10.7.4 et OS X Lion Server 10.7.4

    Conséquence : la consultation d’un site Web conçu de manière malveillante peut entraîner une divulgation d’informations intersites.

    Description : la gestion des iframes et des identificateurs de fragment présente un problème lié à des origines multiples. Ce problème est résolu par un meilleur suivi de l’origine.

    Référence CVE

    CVE-2012-2815 : Elie Bursztein, Baptiste Gourdin, Gustav Rydstedt et Dan Boneh du Laboratoire de sécurité de l’Université de Stanford.

  • WebKit

    Disponible pour : OS X Lion 10.7.4 et OS X Lion Server 10.7.4

    Conséquence : des caractères semblables dans une URL peuvent être utilisés pour usurper un site Web.

    Description : la prise en charge des noms internationaux de domaines (IDN) et les polices Unicode intégrées à Safari pourraient avoir été utilisées pour créer une URL contenant des caractères semblables. Ceux-ci pourraient avoir été utilisés dans un site web malveillant pour diriger l’utilisateur vers un faux site qui apparaît visuellement comme un domaine légitime. Ce problème est résolu par l’ajout des caractères semblables connus à la liste de WebKit. Les caractères semblables sont rendus en Punycode dans la barre d’adresse.

    Référence CVE

    CVE-2012-3693 : Matt Cooley de Symantec.

  • WebKit

    Disponible pour : OS X Lion 10.7.4 et OS X Lion Server 10.7.4

    Conséquence : le fait de glisser-déposer un fichier dans Safari peut révéler le chemin d’accès du système de fichiers au site Web.

    Description : la gestion des fichiers glissés-déposés présente un problème de divulgation d’informations. Ce problème est résolu par une meilleure gestion des fichiers glissés-déposés.

    Référence CVE

    CVE-2012-3694 : Daniel Cheng de Google, Aaron Sigel de vtty.com.

  • WebKit

    Disponible pour : OS X Lion 10.7.4 et OS X Lion Server 10.7.4

    Conséquence : la consultation d’un site Web malveillant peut entraîner une attaque de scriptage intersites.

    Description : la gestion des URL présente un problème de canonicalisation. Ce problème peut conduire à un scriptage intersites sur des sites utilisant la propriété location.href. Ce problème est résolu par une meilleure canonicalisation des URL.

    Référence CVE

    CVE-2012-3695 : Masato Kinugawa.

  • WebKit

    Disponible pour : OS X Lion 10.7.4 et OS X Lion Server 10.7.4

    Conséquence : la consultation d’un site Web conçu de manière malveillante peut conduire à une division de la requête HTTP.

    Description : la gestion des WebSockets présente un problème d’injection de l’en-tête HTTP. Ce problème est résolu par un nettoyage amélioré des URL WebSockets.

    Référence CVE

    CVE-2012-3696 : David Belcher de l’équipe de réponse aux incidents de BlackBerry.

  • WebKit

    Disponible pour : OS X Lion 10.7.4 et OS X Lion Server 10.7.4

    Conséquence : un site Web malveillant peut usurper la valeur dans la barre d’adresse URL.

    Description : la gestion de l’historique de session présente un problème de gestion de l’état. Les navigations vers un fragment de la page actuelle peuvent conduire à un affichage d’informations incorrectes dans la barre d’adresse URL. Ce problème est résolu par un meilleur suivi de l’état de la session.

    Référence CVE

    CVE-2011-2845 : Jordi Chancel.

  • WebKit

    Disponible pour : OS X Lion 10.7.4 et Lion Server 10.7.4

    Conséquence : un pirate peut quitter le bac à sable et accéder à tout fichier auquel l’utilisateur actuel a accès.

    Description : la gestion des URL de fichiers présente un problème de contrôle d’accès. Un pirate bénéficiant d’une exécution de code au sein de Safari WebProcess peut outrepasser le bac à sable et accéder à tout fichier auquel l’utilisateur exécutant Safari a accès. Le problème est résolu par l’amélioration des URL de fichiers.

    Référence CVE

    CVE-2012-3697 : Aaron Sigel de vtty.com.

  • WebKit

    Disponible pour : OS X Lion 10.7.4 et Lion Server 10.7.4

    Conséquence : la consultation d’un site malveillant peut conduire à la divulgation des contenus de la mémoire.

    Description : la gestion des images SVG présente un problème d’accès mémoire non initialisé. Le problème est résolu par une meilleure initialisation de la mémoire.

    Référence CVE

    CVE-2012-3650 : Apple.

Important : les mentions de sites Web et de produits tiers ne sont fournies qu’à titre indicatif et ne constituent ni une recommandation ni une approbation d’Apple. Apple n’endosse aucune responsabilité au sujet de la sélection, des performances ou de l’utilisation des informations ou des produits qui se trouvent sur des sites Web tiers. Apple ne fournit ces renseignements que pour la commodité de ses utilisateurs. Apple n’a pas vérifié les informations qui se trouvent sur lesdits sites et n’effectue aucune déclaration concernant leur exactitude ou leur fiabilité. Il existe des dangers inhérents à l’usage de tout renseignement ou produit trouvé sur Internet et Apple n’endosse aucune responsabilité à cet égard. Veuillez comprendre qu’un site tiers est indépendant d’Apple et qu’Apple n’a aucun contrôle sur le contenu dudit site. Veuillez contacter le vendeur pour tout renseignement supplémentaire.

Dernière modification:
Avez-vous trouvé cet article utile ?

Informations supplémentaires relatives à l’assistance produit

France (Français)