Apple v zájmu ochrany zákazníků nezveřejňuje, nerozebírá ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřeny a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.
Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.
Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.
Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.
Safari 5.1.4
-
Safari
K dispozici pro: Windows 7, Vista, XP SP2 a novější
Dopad: Znaky v adrese URL, které jsou si podobné, mohly být použity k maskování pravých webových stránek.
Popis: Podpora mezinárodního názvu domény (IDN) v Safari mohla být použita k vytvoření URL adresy, která obsahuje podobné znaky. Nebezpečný web ho mohl zneužít k nasměrování uživatele na falešný web, který vizuálně vypadá jako legitimní doména. Problém byl vyřešen vylepšenou kontrolou platnosti názvu domény. Tento problém se netýká systémů OS X.
CVE-ID
CVE-2012-0584: Matt Cooley ze společnosti Symantec
-
Safari
K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 nebo novější
Dopad: Návštěvy webových stránek můžou být zaznamenávány v historii prohlížeče, i když je zapnuto Anonymní prohlížení.
Popis: Funkce Anonymní prohlížení v Safari má bránit zaznamenávání relace prohlížení. Stránky navštívené v důsledku toho, že otevřený web použil metody JavaScriptu pushState nebo replaceState byly zaznamenány v historii prohlížeče, i když byl aktivní režim Anonymní prohlížení. Tento problém byl opraven a takové návštěvy nadále nejsou při aktivním Anonymním prohlížení zaznamenávány.
CVE-ID
CVE-2012-0585: Eric Melville ze společnosti American Express
-
WebKit
K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 nebo novější
Dopad: Návštěva nebezpečně vytvořeného webu může vést ke skriptovému útoku napříč weby.
Popis: V soustavě WebKit existovalo několik problémů se skriptováním napříč weby
CVE-ID
CVE-2011-3881: Sergej Glazunov
CVE-2012-0586: Sergej Glazunov
CVE-2012-0587: Sergej Glazunov
CVE-2012-0588: Jochen Eisinger ze skupiny Google Chrome Team
CVE-2012-0589: Alan Austin, polyvore.com
-
WebKit
K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 nebo novější
Dopad: Návštěva nebezpečně vytvořeného webu může vést k odhalení souborů cookie.
Popis: V soustavě WebKit existoval problém se zpracováním křížového původu, který mohl umožnit odhalení souborů cookie napříč různými zdrojovými servery.
CVE-ID
CVE-2011-3887: Sergej Glazunov
-
WebKit
K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 nebo novější
Dopad: Návštěva nebezpečně vytvořeného webu a přetažení obsahu myší může vést ke skriptovému útoku napříč weby.
Popis: V soustavě WebKit existoval problém se zpracováním křížového původu, který mohl umožnit přetahování obsahu myší napříč různými zdrojovými servery.
CVE-ID
CVE-2012-0590: Adam Barth ze skupiny Google Chrome Security Team
-
WebKit
K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 nebo novější
Dopad: Návštěva škodlivého webu mohla vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Ve WebKitu existovalo několik problémů s poškozením paměti.
CVE-ID
CVE-2011-2825: wushi ze skupiny team509 ve spolupráci s projektem TippingPoint Zero Day Initiative
CVE-2011-2833: Apple
CVE-2011-2846: Arthur Gerkis, miaubiz
CVE-2011-2847: miaubiz, Abhishek Arya (Inferno) ze skupiny Google Chrome Security Team s využitím nástroje AddressSanitizer
CVE-2011-2854: Abhishek Arya (Inferno) ze skupiny Google Chrome Security Team s využitím nástroje AddressSanitizer
CVE-2011-2855: Arthur Gerkis, wushi ze skupiny team509 ve spolupráci s iDefense VCP
CVE-2011-2857: miaubiz
CVE-2011-2860: Abhishek Arya (Inferno) ze skupiny Google Chrome Security Team s využitím nástroje AddressSanitizer
CVE-2011-2866: Abhishek Arya (Inferno) ze skupiny Google Chrome Security Team s využitím nástroje AddressSanitizer
CVE-2011-2867: Dirk Schulze
CVE-2011-2868: Abhishek Arya (Inferno) ze skupiny Google Chrome Security Team s využitím nástroje AddressSanitizer
CVE-2011-2869: Cris Neckar ze skupiny Google Chrome Security Team s využitím nástroje AddressSanitizer
CVE-2011-2870: Abhishek Arya (Inferno) ze skupiny Google Chrome Security Team s využitím nástroje AddressSanitizer
CVE-2011-2871: Abhishek Arya (Inferno) ze skupiny Google Chrome Security Team s využitím nástroje AddressSanitizer
CVE-2011-2872: Abhishek Arya (Inferno) ze skupiny Google Chrome Security Team s využitím nástroje AddressSanitizer
CVE-2011-2873: Abhishek Arya (Inferno) ze skupiny Google Chrome Security Team s využitím nástroje AddressSanitizer
CVE-2011-2877: miaubiz
CVE-2011-3885: miaubiz
CVE-2011-3888: miaubiz
CVE-2011-3897: pa_kt ve spolupráci s projektem TippingPoint Zero Day Initiative
CVE-2011-3908: Aki Helin z OUSPG
CVE-2011-3909: Google Chrome Security Team (scarybeasts) a Chu
CVE-2011-3928: wushi ze skupiny team509 ve spolupráci s projektem TippingPoint Zero Day Initiative
CVE-2012-0591: miaubiz a Martin Barbella
CVE-2012-0592: Alexander Gavrun ve spolupráci s projektem TippingPoint Zero Day Initiative
CVE-2012-0593: Lei Zhang z vývojové komunity projektu Chromium
CVE-2012-0594: Adam Klein z vývojové komunity projektu Chromium
CVE-2012-0595: Apple
CVE-2012-0596: Abhishek Arya (Inferno) ze skupiny Google Chrome Security Team s využitím nástroje AddressSanitizer
CVE-2012-0597: miaubiz
CVE-2012-0598: Sergej Glazunov
CVE-2012-0599: Dmytro Gorbunov ze SaveSources.com
CVE-2012-0600: Marshall Greenblatt, Dharani Govindan z týmu Google Chrome, miaubiz, Aki Helin z OUSPG
CVE-2012-0601: Apple
CVE-2012-0602: Apple
CVE-2012-0603: Apple
CVE-2012-0604: Apple
CVE-2012-0605: Apple
CVE-2012-0606: Apple
CVE-2012-0607: Apple
CVE-2012-0608: Abhishek Arya (Inferno) ze skupiny Google Chrome Security Team s využitím nástroje AddressSanitizer
CVE-2012-0609: Abhishek Arya (Inferno) ze skupiny Google Chrome Security Team s využitím nástroje AddressSanitizer
CVE-2012-0610: miaubiz, Martin Barbella s využitím nástroje AddressSanitizer
CVE-2012-0611: Martin Barbella s využitím nástroje AddressSanitizer
CVE-2012-0612: Abhishek Arya (Inferno) ze skupiny Google Chrome Security Team s využitím nástroje AddressSanitizer
CVE-2012-0613: Abhishek Arya (Inferno) ze skupiny Google Chrome Security Team s využitím nástroje AddressSanitizer
CVE-2012-0614: miaubiz, Martin Barbella s využitím nástroje AddressSanitizer
CVE-2012-0615: Martin Barbella s využitím nástroje AddressSanitizer
CVE-2012-0616: miaubiz
CVE-2012-0617: Martin Barbella s využitím nástroje AddressSanitizer
CVE-2012-0618: Abhishek Arya (Inferno) ze skupiny Google Chrome Security Team s využitím nástroje AddressSanitizer
CVE-2012-0619: Abhishek Arya (Inferno) ze skupiny Google Chrome Security Team s využitím nástroje AddressSanitizer
CVE-2012-0620: Abhishek Arya (Inferno) ze skupiny Google Chrome Security Team s využitím nástroje AddressSanitizer
CVE-2012-0621: Martin Barbella s využitím nástroje AddressSanitizer
CVE-2012-0622: Abhishek Arya (Inferno) ze skupiny Google Chrome Security Team s využitím nástroje AddressSanitizer
CVE-2012-0623: Abhishek Arya (Inferno) ze skupiny Google Chrome Security Team s využitím nástroje AddressSanitizer
CVE-2012-0624: Martin Barbella s využitím nástroje AddressSanitizer
CVE-2012-0625: Martin Barbella
CVE-2012-0626: Abhishek Arya (Inferno) ze skupiny Google Chrome Security Team s využitím nástroje AddressSanitizer
CVE-2012-0627: Apple
CVE-2012-0628: Slawomir Blazek, miaubiz, Abhishek Arya (Inferno) ze skupiny Google Chrome Security Team s využitím nástroje AddressSanitizer
CVE-2012-0629: Abhishek Arya (Inferno) ze skupiny Google Chrome Security Team s využitím nástroje AddressSanitizer
CVE-2012-0630: Sergio Villar Senin ze společnosti Igalia
CVE-2012-0631: Abhishek Arya (Inferno) ze skupiny Google Chrome Security Team
CVE-2012-0632: Cris Neckar ze skupiny Google Chrome Security Team s využitím nástroje AddressSanitizer
CVE-2012-0633: Apple
CVE-2012-0635: Julien Chaffraix z vývojové komunity projektu Chromium, Martin Barbella s využitím nástroje AddressSanitizer
CVE-2012-0636: Jeremy Apthorp ze společnosti Google, Abhishek Arya (Inferno) ze skupiny Google Chrome Security Team s využitím nástroje AddressSanitizer
CVE-2012-0637: Apple
CVE-2012-0638: Abhishek Arya (Inferno) ze skupiny Google Chrome Security Team s využitím nástroje AddressSanitizer
CVE-2012-0639: Abhishek Arya (Inferno) ze skupiny Google Chrome Security Team s využitím nástroje AddressSanitizer
CVE-2012-0648: Apple
-
WebKit
K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 nebo novější
Dopad: Weby třetích stran můžou nastavovat soubory cookie, i když je Safari nakonfigurováno na jejich blokování.
Popis: Při uplatňování zásad používání souborů cookie docházelo k problému. Weby třetích stran mohly nastavovat soubory cookie, když byla předvolba Block Cookies (Blokovat soubory cookie) v Safari nastavená na výchozí nastavení From third parties and advertisers (Od třetích stran a inzerentů).
CVE-ID
CVE-2012-0640: nshah
-
WebKit
K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 nebo novější
Dopad: Pověření HTTP můžou být neúmyslně zveřejněna jinému webu
Popis: Pokud web využívá ověřování HTTP a přesměruje se na jiný web, můžou být na tento jiný web odeslána pověření.
CVE-ID
CVE-2012-0647: anonymní výzkumník