Informationen zum Sicherheitsinhalt von Safari 5.1.4

In diesem Dokument wird der Sicherheitsinhalt von Safari 5.1.4 beschrieben.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter "Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit".

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter "Apple-Sicherheitsupdates".

Safari 5.1.4

• Safari

Verfügbar für: Windows 7, Vista, XP SP2 oder neuer

Auswirkung: Doppelgängerzeichen in einer URL können zur Maskierung einer Website verwendet werden

Beschreibung: Die IDN-Unterstützung (International Domain Name) in Safari könnte verwendet werden, um URLs zu erstellen, die Doppelgängerzeichen enthalten. Diese können in einer schädlichen Website verwendet werden, um den Benutzer auf eine gefälschte Site zu leiten, die auf den ersten Blick eine legitime Domain aufzuweisen scheint. Das Problem wird durch eine verbesserte Echtheitsprüfung des Domänennamens behoben. Das Problem betrifft keine OS X-Systeme.

CVE-ID

CVE-2012-0584: Matt Cooley von Symantec

• Safari

Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 oder neuer

Auswirkung: Besuche auf Webseiten werden möglicherweise im Browserverlauf protokolliert, auch wenn das private Surfen aktiviert wurde

Beschreibung: Das private Surfen in Safari wurde so konzipiert, dass Sitzungen nicht protokolliert werden. Seiten, die besucht wurden, weil eine Website die JavaScript-Methode pushState oder replaceState verwendet, wurden im Browserverlauf protokolliert, auch wenn das private Surfen aktiviert war. Dieses Problem wurde behoben. Solche Besuche werden bei aktiviertem Modus für privates Surfen nicht mehr aufgezeichnet.

CVE-ID

CVE-2012-0585: Eric Melville von American Express

• WebKit

Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 oder neuer

Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu Cross-Site-Scripting-Angriffen führen

Beschreibung: In WebKit kam es zu mehreren Cross-Site-Scripting-Fehlern

CVE-ID

CVE-2011-3881: Sergey Glazunov

CVE-2012-0586: Sergey Glazunov

CVE-2012-0587: Sergey Glazunov

CVE-2012-0588: Jochen Eisinger vom Google Chrome Team

CVE-2012-0589: Alan Austin von polyvore.com

• WebKit

Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 oder neuer

Auswirkung: Das Aufrufen einer in böswilliger Absicht erstellten Website kann zur Preisgabe von Cookies führen

Beschreibung: In WebKit kam es zu einem Cross-Origin-Problem, bei dem Cookies an Origins preisgegeben werden konnten.

CVE-ID

CVE-2011-3887: Sergey Glazunov

• WebKit

Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 oder neuer

Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann beim Ziehen von Inhalten mit der Maus zu Cross-Site-Scripting-Angriffen führen

Beschreibung: In WebKit kam es zu einem Cross-Origin-Problem, bei dem Inhalte per Drag & Drop an Origins bewegt werden konnten.

CVE-ID

CVE-2012-0590: Adam Barth vom Google Chrome-Sicherheitsteam

• WebKit

Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 oder neuer

Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

Beschreibung: In WebKit gab es mehrere Speicherfehler.

CVE-ID

CVE-2011-2825: wushi von team509 in Zusammenarbeit mit der TippingPoint Zero Day Initiative

CVE-2011-2833: Apple

CVE-2011-2846: Arthur Gerkis, miaubiz

CVE-2011-2847: miaubiz, Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

CVE-2011-2854: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

CVE-2011-2855: Arthur Gerkis, von team509 in Zusammenarbeit mit iDefende VCP

CVE-2011-2857: miaubiz

CVE-2011-2860: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

CVE-2011-2866: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

CVE-2011-2867: Dirk Schulze

CVE-2011-2868: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

CVE-2011-2869: Cris Neckar vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

CVE-2011-2870: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

CVE-2011-2871: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

CVE-2011-2872: Abhishek Arya (Inferno) und Cris Neckar vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

CVE-2011-2873: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

CVE-2011-2877: miaubiz

CVE-2011-3885: miaubiz

CVE-2011-3888: miaubiz

CVE-2011-3897: pa_kt in Zusammenarbeit mit der Zero Day Initiative von TippingPoint

CVE-2011-3908: Aki Helin von OUSPG

CVE-2011-3909: Google Chrome-Sicherheitsteam (scarybeasts) und Chu

CVE-2011-3928: wushi von team509 in Zusammenarbeit mit der TippingPoint Zero Day Initiative

CVE-2012-0591: miaubiz und Martin Barbella

CVE-2012-0592: Alexander Gavrun in Zusammenarbeit mit der Zero Day Initiative von TippingPoint

CVE-2012-0593: Lei Zhang von der Chromium-Entwicklergemeinde

CVE-2012-0594: Adam Klein von der Chromium-Entwicklergemeinde

CVE-2012-0595: Apple

CVE-2012-0596: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

CVE-2012-0597: miaubiz

CVE-2012-0598: Sergey Glazunov

CVE-2012-0599: Dmytro Gorbunov von SaveSources.com

CVE-2012-0600: Marshall Greenblatt, Dharani Govindan von Google Chrome, miaubiz, Aki Helin von OUSPG

CVE-2012-0601: Apple

CVE-2012-0602: Apple

CVE-2012-0603: Apple

CVE-2012-0604: Apple

CVE-2012-0605: Apple

CVE-2012-0606: Apple

CVE-2012-0607: Apple

CVE-2012-0608: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

CVE-2012-0609: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

CVE-2012-0610: miaubiz, Martin Barbella unter Verwendung von AddressSanitizer

CVE-2012-0611: Martin Barbella unter Verwendung von AddressSanitizer

CVE-2012-0612: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

CVE-2012-0613: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

CVE-2012-0614: miaubiz, Martin Barbella unter Verwendung von AddressSanitizer

CVE-2012-0615: Martin Barbella unter Verwendung von AddressSanitizer

CVE-2012-0616: miaubiz

CVE-2012-0617: Martin Barbella unter Verwendung von AddressSanitizer

CVE-2012-0618: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

CVE-2012-0619: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

CVE-2012-0620: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

CVE-2012-0621: Martin Barbella unter Verwendung von AddressSanitizer

CVE-2012-0622: Dave Levin und Abhishek Arya vom Google Chrome-Sicherheitsteam

CVE-2012-0623: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

CVE-2012-0624: Martin Barbella unter Verwendung von AddressSanitizer

CVE-2012-0625: Martin Barbella

CVE-2012-0626: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

CVE-2012-0627: Apple

CVE-2012-0628: Slawomir Blazek, miaubiz, Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

CVE-2012-0629: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam

CVE-2012-0630: Sergio Villar Senin von Igalia

CVE-2012-0631: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam

CVE-2012-0632: Cris Neckar vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

CVE-2012-0633: Apple

CVE-2012-0635: Julien Chaffraix von der Chromium-Entwicklergemeinde und Martin Barbella unter Verwendung von AddressSanitizer

CVE-2012-0636: Jeremy Apthorp von Google, Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

CVE-2012-0637: Apple

CVE-2012-0638: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

CVE-2012-0639: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

CVE-2012-0648: Apple

• WebKit

Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 oder neuer

Auswirkung: Cookies von Drittanbieter-Websites werden angelegt, auch wenn laut Konfiguration Cookies in Safari blockiert werden

Beschreibung: Es bestand ein Problem bei der Durchsetzung der Cookie-Einstellungen. Websites Dritter konnten Cookies anlegen, auch wenn die Einstellung "Cookies blockieren" auf die Standardauswahl "Von Dritten oder Werbeanbietern" gesetzt war.

CVE-ID

CVE-2012-0640: nshah

• WebKit

Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 oder neuer

Auswirkung: Die Anmeldeinformationen der HTTP-Authentifizierung können versehentlich einer anderen Site zugänglich gemacht werden

Beschreibung: Wenn eine Site die HTTP-Authentifizierung verwendet und dann auf eine andere Site umgeleitet hat, konnten die Anmeldeinformationen an die andere Site gesendet werden.

CVE-ID

CVE-2012-0647: Anonymer Forscher