Om sikkerhedsindholdet i Safari 6

I dette dokument beskrives sikkerhedsindholdet i Safari 6.

Af hensyn til vores kunders sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Du kan finde flere oplysninger om PGP-nøglen til Apple-produktsikkerhed i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.

Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

Safari 6.0

  • Safari

    Fås til: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Effekt: Et besøg på et skadeligt websted kan medføre scripting-angreb på tværs af websteder

    Beskrivelse: Der var et problem ved scripting på tværs af websteder ved håndteringen af URL-adresser af typen feed://. Denne opdatering fjerner håndteringen af URL-adresser af typen feed://.

    CVE-id

    CVE-2012-0678: Masato Kinugawa

  • Safari

    Fås til: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Effekt: Et besøg på et skadeligt websted kan forårsage, at arkiver fra brugerens system bliver sendt til en ekstern server

    Beskrivelse: Der var et problem med adgangskontrol i håndteringen af URL-adresser af typen feed://. Denne opdatering fjerner håndteringen af URL-adresser af typen feed://.

    CVE-id

    CVE-2012-0679: Aaron Sigel fra vtty.com

  • Safari

    Fås til: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Effekt: Adgangskoder auto-udfyldes muligvis, selv om webstedet angiver, at auto-udfyldning skal være slået fra

    Beskrivelse: Adgangskodeindtastningselementer, som har attributsættet for auto-udfyldning sat til "off", auto-udfyldes. Denne opdatering løser problemet ved at forbedre håndteringen af auto-udfyldelsesattributten.

    CVE-id

    CVE-2012-0680: Dan Poltawski fra Moodle

  • Safari-overførsler

    Fås til: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Effekt: Åbning af skadelige arkiver på visse websteder kan medføre et scripting-angreb på tværs af websteder

    Beskrivelse: Der var et problem med Safaris understøttelse af værdien "attachment" til dispositionsheaderen til HTTP Content. Headeren bruges på mange websteder til at behandle arkiver, der overføres til siden af tredjemand – f.eks. bilag i webbaserede e-mailprogrammer. Et script i et arkiv, der behandles med denne headerværdi, ville køre, som om arkivet var blevet behandlet inline med fuld adgang til andre ressourcer på oprindelsesserveren. Problemet er løst ved at overføre ressourcer, der behandles med denne header, i stedet for at vise dem inline.

    CVE-id

    CVE-2011-3426: Mickey Shkatov fra laplinker.com, Kyle Osborn, Hidetake Jo fra Microsoft og Microsoft Vulnerability Research (MSVR)

  • WebKit

    Fås til: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var flere problemer med beskadiget hukommelse i WebKit. Disse problemer er løst ved forbedret hukommelsesstyring.

    CVE-id

    CVE-2011-3016: miaubiz

    CVE-2011-3021: Arthur Gerkis

    CVE-2011-3027: miaubiz

    CVE-2011-3032: Arthur Gerkis

    CVE-2011-3034: Arthur Gerkis

    CVE-2011-3035: wushi fra team509, der arbejder for iDefense VCP, Arthur Gerkis

    CVE-2011-3036: miaubiz

    CVE-2011-3037: miaubiz

    CVE-2011-3038: miaubiz

    CVE-2011-3039: miaubiz

    CVE-2011-3040: miaubiz

    CVE-2011-3041: miaubiz

    CVE-2011-3042: miaubiz

    CVE-2011-3043: miaubiz

    CVE-2011-3044: Arthur Gerkis

    CVE-2011-3050: miaubiz

    CVE-2011-3053: miaubiz

    CVE-2011-3059: Arthur Gerkis

    CVE-2011-3060: miaubiz

    CVE-2011-3064: Atte Kettunen fra OUSPG

    CVE-2011-3068: miaubiz

    CVE-2011-3069: miaubiz

    CVE-2011-3071: pa_kt, som arbejder for HP's Zero Day Initiative

    CVE-2011-3073: Arthur Gerkis

    CVE-2011-3074: Slawomir Blazek

    CVE-2011-3075: miaubiz

    CVE-2011-3076: miaubiz

    CVE-2011-3078: Martin Barbella fra Google Chrome Security Team

    CVE-2011-3081: miaubiz

    CVE-2011-3086: Arthur Gerkis

    CVE-2011-3089: Skylined fra Google Chrome Security Team, miaubiz

    CVE-2011-3090: Arthur Gerkis

    CVE-2011-3913: Arthur Gerkis

    CVE-2011-3924: Arthur Gerkis

    CVE-2011-3926: Arthur Gerkis

    CVE-2011-3958: miaubiz

    CVE-2011-3966: Aki Helin fra OUSPG

    CVE-2011-3968: Arthur Gerkis

    CVE-2011-3969: Arthur Gerkis

    CVE-2011-3971: Arthur Gerkis

    CVE-2012-0682: Apple Product Security

    CVE-2012-0683: Dave Mandelin fra Mozilla

    CVE-2012-1520: Martin Barbella fra Google Chrome Security Team ved hjælp af AddressSanitizer, Jose A. Vazquez fra spa-s3c.blogspot.com, der arbejder for iDefense VCP

    CVE-2012-1521: Skylined fra Google Chrome Security Team, Jose A. Vazquez fra spa-s3c.blogspot.com, der arbejder for iDefense VCP

    CVE-2012-3589: Dave Mandelin fra Mozilla

    CVE-2012-3590: Apple Product Security

    CVE-2012-3591: Apple Product Security

    CVE-2012-3592: Apple Product Security

    CVE-2012-3593: Apple Product Security

    CVE-2012-3594: miaubiz

    CVE-2012-3595: Martin Barbella fra Google Chrome Security

    CVE-2012-3596: SkyLined fra Google Chrome Security Team

    CVE-2012-3597: Abhishek Arya fra Google Chrome Security Team ved hjælp af AddressSanitizer

    CVE-2012-3599: Abhishek Arya fra Google Chrome Security Team ved hjælp af AddressSanitizer

    CVE-2012-3600: David Levin fra Chromium-programmørfællesskabet

    CVE-2012-3603: Apple Product Security

    CVE-2012-3604: SkyLined fra Google Chrome Security Team

    CVE-2012-3605: Cris Neckar fra Google Chrome Security Team

    CVE-2012-3608: SkyLined fra Google Chrome Security Team

    CVE-2012-3609: SkyLined fra Google Chrome Security Team

    CVE-2012-3610: SkyLined fra Google Chrome Security Team

    CVE-2012-3611: Apple Product Security

    CVE-2012-3615: Stephen Chenney fra Chromium-programmørfællesskabet

    CVE-2012-3618: Abhishek Arya fra Google Chrome Security Team ved hjælp af AddressSanitizer

    CVE-2012-3620: Abhishek Arya fra Google Chrome Security Team

    CVE-2012-3625: SkyLined fra Google Chrome Security Team

    CVE-2012-3626: Apple Product Security

    CVE-2012-3627: Skylined og Abhishek Arya fra Google Chrome Security Team

    CVE-2012-3628: Apple Product Security

    CVE-2012-3629: Abhishek Arya fra Google Chrome Security Team ved hjælp af AddressSanitizer

    CVE-2012-3630: Abhishek Arya fra Google Chrome Security Team ved hjælp af AddressSanitizer

    CVE-2012-3631: Abhishek Arya fra Google Chrome Security Team ved hjælp af AddressSanitizer

    CVE-2012-3633: Martin Barbella fra Google Chrome Security Team ved hjælp af AddressSanitizer

    CVE-2012-3634: Martin Barbella fra Google Chrome Security Team ved hjælp af AddressSanitizer

    CVE-2012-3635: Martin Barbella fra Google Chrome Security Team ved hjælp af AddressSanitizer

    CVE-2012-3636: Martin Barbella fra Google Chrome Security Team ved hjælp af AddressSanitizer

    CVE-2012-3637: Martin Barbella fra Google Chrome Security Team ved hjælp af AddressSanitizer

    CVE-2012-3638: Martin Barbella fra Google Chrome Security Team ved hjælp af AddressSanitizer

    CVE-2012-3639: Martin Barbella fra Google Chrome Security Team ved hjælp af AddressSanitizer

    CVE-2012-3640: miaubiz

    CVE-2012-3641: Slawomir Blazek

    CVE-2012-3642: miaubiz

    CVE-2012-3644: miaubiz

    CVE-2012-3645: Martin Barbella fra Google Chrome Security Team ved hjælp af AddressSanitizer

    CVE-2012-3646: Julien Chaffraix fra Chromium-programmørfællesskabet, Martin Barbella fra Google Chrome Security Team ved hjælp af AddressSanitizer

    CVE-2012-3653: Martin Barbella fra Google Chrome Security Team ved hjælp af AddressSanitizer

    CVE-2012-3655: SkyLined fra Google Chrome Security Team

    CVE-2012-3656: Abhishek Arya fra Google Chrome Security Team ved hjælp af AddressSanitizer

    CVE-2012-3661: Apple Product Security

    CVE-2012-3663: SkyLined fra Google Chrome Security Team

    CVE-2012-3664: Thomas Sepez fra Chromium-programmørfællesskabet

    CVE-2012-3665: Martin Barbella fra Google Chrome Security Team ved hjælp af AddressSanitizer

    CVE-2012-3666: Apple

    CVE-2012-3667: Trevor Squires fra propaneapp.com

    CVE-2012-3668: Apple Product Security

    CVE-2012-3669: Apple Product Security

    CVE-2012-3670: Abhishek Arya fra Google Chrome Security Team ved hjælp af AddressSanitizer

    CVE-2012-3674: SkyLined fra Google Chrome Security Team

    CVE-2012-3678: Apple Product Security

    CVE-2012-3679: Chris Leary fra Mozilla

    CVE-2012-3680: SkyLined fra Google Chrome Security Team

    CVE-2012-3681: Apple

    CVE-2012-3682: Adam Barth fra Google Chrome Security Team

    CVE-2012-3683: wushi fra team509, der arbejder for iDefense VCP

    CVE-2012-3686: Robin Cao fra Torch Mobile (Beijing)

  • WebKit

    Fås til: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Effekt: Når markeret tekst trækkes og slippes på en webside, kan det medføre, at der afsløres oplysninger på tværs af websteder

    Beskrivelse: Der var et cross-origin-problem i forbindelse med håndteringen af træk og slip-handlinger. Problemet er løst ved forbedret oprindelsessporing.

    CVE-id

    CVE-2012-3689: David Bloom fra Cue

  • WebKit

    Fås til: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Effekt: Når markeret tekst trækkes og slippes på en webside, kan det medføre, at arkiver fra brugerens system sendes til en ekstern server

    Beskrivelse: Der var et problem med adgangskontrol i håndteringen af træk og slip-handlinger. Problemet er løst ved forbedret oprindelsessporing.

    CVE-id

    CVE-2012-3690: David Bloom fra Cue

  • WebKit

    Fås til: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Effekt: Et besøg på et skadeligt websted kan medføre, at der afsløres oplysninger på tværs af websteder

    Beskrivelse: Der var et cross-origin-problem i forbindelse med håndteringen af CSS-enhedsværdier. Problemet er løst ved forbedret oprindelsessporing.

    CVE-id

    CVE-2012-3691: Apple

  • WebKit

    Fås til: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Effekt: Et skadeligt websted kan muligvis udskifte indholdet i en iframe på et andet websted

    Beskrivelse: Der var et cross-origin-problem i forbindelse med håndteringen af iframes i pop op-vinduer. Problemet er løst ved forbedret oprindelsessporing.

    CVE-id

    CVE-2011-3067: Sergey Glazunov

  • WebKit

    Fås til: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Effekt: Et besøg på et skadeligt websted kan medføre, at der afsløres oplysninger på tværs af websteder

    Beskrivelse: Der var et cross-origin-problem i forbindelse med håndteringen af iframes og fragmentidentifikatorer. Problemet er løst ved forbedret oprindelsessporing.

    CVE-id

    CVE-2012-2815: Elie Bursztein, Baptiste Gourdin, Gustav Rydstedt og Dan Boneh fra Stanford University Security Laboratory

  • WebKit

    Fås til: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Effekt: Gengangertegn i en URL kan bruges til at sløre et websted

    Beskrivelse: IDN-understøttelse (International Domain Name) og Unicode-skrifter integreret i Safari kan bruges til at oprette en URL-adresse, der indeholder ''genganger''-tegn. Disse kan være blevet brugt på et skadeligt websted til at dirigere brugeren til en svindelside, der umiddelbart ser ud til at være et godkendt domæne. Problemet er løst ved at udvide WebKits liste over kendte genganger-tegn. Genganger-tegn gengives i Punycode i adresselinjen.

    CVE-id

    CVE-2012-3693: Matt Cooley fra Symantec

  • WebKit

    Fås til: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Effekt: Hvis et arkiv trækkes og slippes til Safari, kan det medføre afsløring af arkivsystemstien på webstedet.

    Beskrivelse: Der var et problem med afsløring af oplysninger i håndteringen af trukne arkiver. Problemet er løst ved forbedret håndtering af trukne arkiver.

    CVE-id

    CVE-2012-3694: Daniel Cheng fra Google, Aaron Sigel fra vtty.com

  • WebKit

    Fås til: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Effekt: Et besøg på et skadeligt websted kan medføre scripting-angreb på tværs af websteder

    Beskrivelse: Der var et standardiseringsproblem med håndteringen af URL-adresser. Det kan have medført scripting på tværs af websteder på websteder, som bruger egenskaben location.href. Problemet er løst ved forbedret standardisering af URL-adresser.

    CVE-id

    CVE-2012-3695: Masato Kinugawa

  • WebKit

    Fås til: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Effekt: Et besøg på et skadeligt websted kan medføre opdeling af HTTP-anmodninger

    Beskrivelse: Der var et problem med HTTP-header-indsætning i håndteringen af WebSockets. Problemet er løst ved forbedret håndtering af URI-rensning i WebSockets.

    CVE-id

    CVE-2012-3696 David Belcher fra BlackBerry Security Incident Response Team

  • WebKit

    Fås til: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Effekt: Et skadeligt websted kan efterligne værdien i URL-adresselinjen

    Beskrivelse: Der var et administrationsproblem i håndteringen af sessionshistorie. Navigering til et fragment på den aktuelle side kan medføre, at der vises forkerte oplysninger i URL-adresselinjen i Safari. Problemet er løst ved forbedret sporing af sessionstilstand.

    CVE-id

    CVE-2011-2845: Jordi Chancel

  • WebKit

    Fås til: OS X Lion v10.7.4, Lion Server v10.7.4

    Effekt: En hacker kan komme uden om sandboxen og få adgang til alle de arkiver, som den aktuelle bruger har adgang til

    Beskrivelse: Der var et problem med adgangskontrol i håndteringen af arkiv-URL-adresser. En hacker, der får udført kørsel af vilkårlig kode i en Safari-WebProcess, kan komme uden om sandboxen og få adgang til alle de arkiver, som den bruger, der kører Safari, har adgang til. Problemet er løst ved forbedret håndtering af URL-adresser.

    CVE-id

    CVE-2012-3697: Aaron Sigel fra vtty.com

  • WebKit

    Fås til: OS X Lion v10.7.4, Lion Server v10.7.4

    Effekt: Et besøg på et skadeligt websted kan medføre afsløring af data i hukommelsen

    Beskrivelse: Der var et problem med ikke-initialiseret hukommelsesadgang ved behandling af SVG-billeder. Problemet er løst ved forbedret hukommelsesinitialisering.

    CVE-id

    CVE-2012-3650: Apple

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: