Сведения о проблемах системы безопасности, устраняемых обновлением Safari 6.0.5

В этом документе описаны проблемы системы безопасности, устраненные в Safari 6.0.5.

Обновление Safari 6.0.5 можно загрузить и установить с помощью функции Обновление ПО в настройках или со страницы загрузок службы поддержки Apple.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Если возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

Safari 6.0.5

• WebKit

  Целевые продукты: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.3

  Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  Описание. В WebKit существовало множество ошибок, приводящих к повреждению содержимого памяти. Проблемы решены путем улучшенной обработки обращений к памяти.

  CVE-ID

  CVE-2013-0879: Atte Kettunen из OUSPG

  CVE-2013-0991: Jay Civelli из сообщества разработчиков Chromium

  CVE-2013-0992: Google Chrome Security Team (Martin Barbella)

  CVE-2013-0993: Google Chrome Security Team (Inferno)

  CVE-2013-0994: David German из Google

  CVE-2013-0995: Google Chrome Security Team (Inferno)

  CVE-2013-0996: Google Chrome Security Team (Inferno)

  CVE-2013-0997: Vitaliy Toropov, работающий с компанией HP по программе Zero Day Initiative

  CVE-2013-0998: пользователь pa_kt, работающий с компанией HP по программе Zero Day Initiative

  CVE-2013-0999: пользователь pa_kt, работающий с компанией HP по программе Zero Day Initiative

  CVE-2013-1000: Fermin J. Serna из Google Security Team

  CVE-2013-1001: Ryan Humenick

  CVE-2013-1002: Sergey Glazunov

  CVE-2013-1003: Google Chrome Security Team (Inferno)

  CVE-2013-1004: Google Chrome Security Team (Martin Barbella)

  CVE-2013-1005: Google Chrome Security Team (Martin Barbella)

  CVE-2013-1006: Google Chrome Security Team (Martin Barbella)

  CVE-2013-1007: Google Chrome Security Team (Inferno)

  CVE-2013-1008: Sergey Glazunov

  CVE-2013-1009: Apple

  CVE-2013-1010: miaubiz

  CVE-2013-1011: Google Chrome Security Team (Inferno)

  CVE-2013-1023: Google Chrome Security Team (Inferno)

• WebKit

  Целевые продукты: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.3

  Воздействие. Посещение вредоносного веб-сайта может привести к атаке с использованием межсайтовых сценариев

  Описание. Существовала проблема с выполнением межсайтовых сценариев при обработке iframe. Проблема решена путем улучшенного отслеживания источников.

  CVE-ID

  CVE-2013-1012: Subodh Iyengar и Erling Ellingsen из Facebook

• WebKit

  Целевые продукты: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.3

  Воздействие. Копирование и вставка вредоносного фрагмента HTML-кода может привести к атаке с использованием межсайтовых сценариев

  Описание. Существовала проблема с выполнением межсайтовых сценариев при копировании и вставке данных в HTML-документах. Проблема решена путем дополнительной проверки вставляемого содержимого.

  CVE-ID

  CVE-2013-0926: Aditya Gupta, Subho Halder и Dev Kar из xys3c (xysec.com)

• WebKit

  Целевые продукты: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.3

  Воздействие. Переход по вредоносной ссылке может привести к неожиданному поведению на целевом сайте.

  Описание. XSS Auditor может перезаписывать URL-адреса для предотвращения атак с использованием межсайтовых сценариев. Это может привести к злонамеренному изменению поведения отправки формы. Проблема решена путем улучшенной проверки URL-адресов.

  CVE-ID

  CVE-2013-1013: Sam Power из Pentest Limited