Informacje o zawartości związanej z zabezpieczeniami w przeglądarce Safari 6
Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w przeglądarce Safari 6.
W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
Safari 6.0
Safari
Dostępne dla: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować atak XSS (cross-site scripting).
Opis: w procedurze obsługi adresów URL typu feed:// występował błąd mogący powodować ataki XSS (cross-site scripting). To uaktualnienie usuwa obsługę adresów URL typu feed://.
Identyfikator CVE
CVE-2012-0678: Masato Kinugawa
Safari
Dostępne dla: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny internetowej może spowodować wysłanie plików z komputera użytkownika na serwer zdalny.
Opis: w procedurze obsługi adresów URL typu feed:// występował błąd kontroli dostępu. To uaktualnienie usuwa obsługę adresów URL typu feed://.
Identyfikator CVE
CVE-2012-0679: Aaron Sigel z firmy vtty.com
Safari
Dostępne dla: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Zagrożenie: hasła mogą być automatycznie uzupełniane nawet wtedy, gdy w ustawieniach witryny funkcja automatycznego uzupełniania jest wyłączona.
Opis: elementy wprowadzania haseł z wyłączonym atrybutem automatycznego uzupełniania były automatycznie uzupełniane. To uaktualnienie rozwiązuje problem przez poprawienie obsługi atrybutu automatycznego uzupełniania.
Identyfikator CVE
CVE-2012-0680: Dan Poltawski z organizacji Moodle
Safari — materiały do pobrania
Dostępne dla: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Zagrożenie: otwarcie złośliwie spreparowanych plików w pewnych witrynach może spowodować atak XSS (cross-site scripting).
Opis: w obsłudze wartości „attachment” dla nagłówka Content-Disposition protokołu HTTP przez przeglądarkę Safari występował błąd. Ten nagłówek jest używany przez wiele witryn do udostępniania plików, które zostały przesłane do witryny z innego źródła, takich jak załączniki w przypadku aplikacji internetowych do obsługi poczty e-mail. Każdy skrypt w plikach udostępnionych z tą wartością nagłówka zostałby uruchomiony jako plik udostępniony bezpośrednio w witrynie z pełnym dostępem do innych zasobów na serwerze źródłowym. Ten problem rozwiązano przez pobranie zasobów dostarczonych z tym nagłówkiem zamiast bezpośredniego ich wyświetlania.
Identyfikator CVE
CVE-2011-3426: Mickey Shkatov z serwisu laplinker.com, Kyle Osborn, Hidetake Jo z firmy Microsoft i działu Microsoft Vulnerability Research (MSVR)
WebKit
Dostępne dla: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w oprogramowaniu WebKit występowało kilka błędów powodujących uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie obsługi pamięci.
Identyfikator CVE
CVE-2011-3016: użytkownik miaubiz
CVE-2011-3021: Arthur Gerkis
CVE-2011-3027: użytkownik miaubiz
CVE-2011-3032: Arthur Gerkis
CVE-2011-3034: Arthur Gerkis
CVE-2011-3035: użytkownik wushi z grupy team509 pracujący w ramach programu iDefense VCP i Arthur Gerkis
CVE-2011-3036: użytkownik miaubiz
CVE-2011-3037: użytkownik miaubiz
CVE-2011-3038: użytkownik miaubiz
CVE-2011-3039: użytkownik miaubiz
CVE-2011-3040: użytkownik miaubiz
CVE-2011-3041: użytkownik miaubiz
CVE-2011-3042: użytkownik miaubiz
CVE-2011-3043: użytkownik miaubiz
CVE-2011-3044: Arthur Gerkis
CVE-2011-3050: użytkownik miaubiz
CVE-2011-3053: użytkownik miaubiz
CVE-2011-3059: Arthur Gerkis
CVE-2011-3060: użytkownik miaubiz
CVE-2011-3064: Atte Kettunen z firmy OUSPG
CVE-2011-3068: użytkownik miaubiz
CVE-2011-3069: użytkownik miaubiz
CVE-2011-3071: użytkownik pa_kt pracujący w ramach programu Zero Day Initiative firmy HP
CVE-2011-3073: Arthur Gerkis
CVE-2011-3074: Sławomir Błażek
CVE-2011-3075: użytkownik miaubiz
CVE-2011-3076: użytkownik miaubiz
CVE-2011-3078: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2011-3081: użytkownik miaubiz
CVE-2011-3086: Arthur Gerkis
CVE-2011-3089: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome i użytkownik miaubiz
CVE-2011-3090: Arthur Gerkis
CVE-2011-3913: Arthur Gerkis
CVE-2011-3924: Arthur Gerkis
CVE-2011-3926: Arthur Gerkis
CVE-2011-3958: użytkownik miaubiz
CVE-2011-3966: Aki Helin z firmy OUSPG
CVE-2011-3968: Arthur Gerkis
CVE-2011-3969: Arthur Gerkis
CVE-2011-3971: Arthur Gerkis
CVE-2012-0682: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-0683: Dave Mandelin z firmy Mozilla
CVE-2012-1520: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer i Jose A. Vazquez z serwisu spa-s3c.blogspot.com pracujący w ramach programu iDefense VCP
CVE-2012-1521: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome i Jose A. Vazquez z serwisu spa-s3c.blogspot.com pracujący w ramach programu iDefense VCP
CVE-2012-3589: Dave Mandelin z firmy Mozilla
CVE-2012-3590: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-3591: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-3592: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-3593: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-3594: użytkownik miaubiz
CVE-2012-3595: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3596: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3597: Abhishek Arya z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer
CVE-2012-3599: Abhishek Arya z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer
CVE-2012-3600: David Levin ze społeczności rozwoju Chromium
CVE-2012-3603: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-3604: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3605: Cris Neckar z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3608: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3609: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3610: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3611: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-3615: Stephen Chenney ze społeczności rozwoju Chromium
CVE-2012-3618: Abhishek Arya z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer
CVE-2012-3620: Abhishek Arya z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3625: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3626: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-3627: użytkownik SkyLined i Abhishek Arya z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3628: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-3629: Abhishek Arya z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer
CVE-2012-3630: Abhishek Arya z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer
CVE-2012-3631: Abhishek Arya z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer
CVE-2012-3633: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer
CVE-2012-3634: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer
CVE-2012-3635: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer
CVE-2012-3636: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer
CVE-2012-3637: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer
CVE-2012-3638: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer
CVE-2012-3639: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer
CVE-2012-3640: użytkownik miaubiz
CVE-2012-3641: Sławomir Błażek
CVE-2012-3642: użytkownik miaubiz
CVE-2012-3644: użytkownik miaubiz
CVE-2012-3645: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer
CVE-2012-3646: Julien Chaffraix ze społeczności rozwoju Chromium, Martin Barbella z zespołu do spraw z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer
CVE-2012-3653: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer
CVE-2012-3655: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3656: Abhishek Arya z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer
CVE-2012-3661: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-3663: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3664: Thomas Sepez ze społeczności rozwoju Chromium
CVE-2012-3665: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer
CVE-2012-3666: firma Apple
CVE-2012-3667: Trevor Squires z serwisu propaneapp.com
CVE-2012-3668: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-3669: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-3670: Abhishek Arya z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer i Arthur Gerkis
CVE-2012-3674: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3678: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-3679: Chris Leary z firmy Mozilla
CVE-2012-3680: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3681: firma Apple
CVE-2012-3682: Adam Barth z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3683: użytkownik wushi z grupy team509 pracujący w ramach programu iDefense VCP
CVE-2012-3686: Robin Cao z firmy Torch Mobile (Pekin)
WebKit
Dostępne dla: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Zagrożenie: przeciągnięcie i upuszczenie zaznaczonego tekstu na stronie internetowej może doprowadzić do ujawnienia informacji z różnych witryn.
Opis: w procedurze obsługi zdarzeń przeciągania i upuszczania występował błąd związany z obsługą różnych źródeł. Ten problem rozwiązano przez poprawienie procedury śledzenia źródeł.
Identyfikator CVE
CVE-2012-3689: David Bloom z organizacji Cue
WebKit
Dostępne dla: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Zagrożenie: przeciągnięcie i upuszczenie zaznaczonego tekstu na stronie internetowej może spowodować wysłanie plików z komputera użytkownika na serwer zdalny.
Opis: w procedurze obsługi zdarzeń przeciągania i upuszczania występował błąd kontroli dostępu. Rozwiązanie problemu polega na poprawieniu procedury śledzenia źródeł.
Identyfikator CVE
CVE-2012-3690: David Bloom z organizacji Cue
WebKit
Dostępne dla: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do ujawnienia informacji z różnych witryn.
Opis: w procedurze obsługi wartości właściwości arkuszy CSS występował błąd związany z obsługą różnych źródeł. Ten problem rozwiązano przez poprawienie procedury śledzenia źródeł.
Identyfikator CVE
CVE-2012-3691: firma Apple
WebKit
Dostępne dla: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Zagrożenie: złośliwa witryna może zamienić zawartość elementu iframe w innej witrynie.
Opis: w procedurze obsługi elementów iframe w oknach podręcznych występował błąd związany z obsługą różnych źródeł. Ten problem rozwiązano przez poprawienie procedury śledzenia źródeł.
Identyfikator CVE
CVE-2011-3067: Sergey Glazunov
WebKit
Dostępne dla: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do ujawnienia informacji z różnych witryn.
Opis: w procedurze obsługi elementów iframe i identyfikatorów fragmentów występował błąd związany z obsługą różnych źródeł. Ten problem rozwiązano przez poprawienie procedury śledzenia źródeł.
Identyfikator CVE
CVE-2012-2815: Elie Bursztein, Baptiste Gourdin, Gustav Rydstedt i Dan Boneh z laboratorium do spraw bezpieczeństwa uczelni Stanford University
WebKit
Dostępne dla: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Zagrożenie: podobne znaki w adresie URL mogą zostać użyte do podszycia się pod witrynę.
Opis: osadzona w przeglądarce Safari obsługa nazw IDN (International Domain Name) i czcionki Unicode mogła zostać użyte w celu utworzenia adresu URL, który zawiera podobne znaki. Przy użyciu tych znaków złośliwa witryna mogła skierować użytkownika do fałszywej witryny, której domena wygląda na prawdziwą. Ten problem rozwiązano przez dołączenie listy znanych podobnych znaków oprogramowania WebKit. Podobne znaki są renderowane w formacie Punycode na pasku adresu.
Identyfikator CVE
CVE-2012-3693: Matt Cooley z firmy Symantec
WebKit
Dostępne dla: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Zagrożenie: przeciągnięcie i upuszczenie pliku w przeglądarce Safari może spowodować ujawnienie ścieżki systemu plików tego pliku w witrynie.
Opis: w procedurze obsługi przeciągania plików występował błąd powodujący ujawnianie informacji. Ten problem rozwiązano przez poprawienie procedury obsługi przeciągania plików.
Identyfikator CVE
CVE-2012-3694: Daniel Cheng z firmy Google i Aaron Sigel z serwisu vtty.com
WebKit
Dostępne dla: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować atak XSS (cross-site scripting).
Opis: w procedurze obsługi adresów URL występował błąd sprowadzania do postaci kanonicznej. Mogło to powodować ataki XSS (cross-site scripting) w witrynach korzystających z właściwości location.href. Ten problem rozwiązano przez poprawienie procedury sprowadzania adresów URL do postaci kanonicznej.
Identyfikator CVE
CVE-2012-3695: Masato Kinugawa
WebKit
Dostępne dla: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może powodować podział żądań HTTP.
Opis: w procedurze obsługi oprogramowania WebSockets występował błąd umożliwiający wstawienie nagłówka HTTP. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania poprawności identyfikatora URI oprogramowania WebSockets.
Identyfikator CVE
CVE-2012-3696: David Belcher z zespołu reagowania na zdarzenia naruszające bezpieczeństwo urządzeń BlackBerry
WebKit
Dostępne dla: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Zagrożenie: złośliwie spreparowana witryna internetowa może zastąpić wartość na pasku adresu URL.
Opis: w procedurze obsługi historii sesji występował błąd zarządzania stanem. Przejście do fragmentu na bieżącej stronie może powodować wyświetlanie nieprawidłowych informacji na pasku adresu URL przeglądarki Safari. Ten problem rozwiązano przez poprawienie procedury śledzenia stanu sesji.
Identyfikator CVE
CVE-2011-2845: Jordi Chancel
WebKit
Dostępne dla: OS X Lion 10.7.4, Lion Server 10.7.4
Zagrożenie: osoba atakująca może opuścić piaskownicę i uzyskać dostęp do każdego pliku, do którego bieżący użytkownik ma dostęp.
Opis: w procedurze obsługi adresów URL plików występował błąd kontroli dostępu. Osoba atakująca, która jest w stanie wykonać dowolny kod w procesie WebProcess przeglądarki Safari, może pominąć piaskownicę i uzyskać dostęp do każdego pliku, do którego użytkownik przeglądarki Safari ma dostęp. Ten problem rozwiązano przez poprawienie procedury obsługi adresów URL plików.
Identyfikator CVE
CVE-2012-3697: Aaron Sigel z firmy vtty.com
WebKit
Dostępne dla: OS X Lion 10.7.4, Lion Server 10.7.4
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny internetowej może spowodować ujawnienie zawartości pamięci.
Opis: w procedurze obsługi obrazów SVG występował błąd niezainicjowanego dostępu do pamięci. Ten problem rozwiązano przez poprawienie procedury inicjowania pamięci.
Identyfikator CVE
CVE-2012-3650: firma Apple
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.