Informationen zum Sicherheitsinhalt von Safari 6

In diesem Dokument wird der Sicherheitsinhalt von Safari 6 beschrieben.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter "Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit".

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter "Apple-Sicherheitsupdates".

Safari 6.0

Safari
Verfügbar für: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu Cross-Site-Scripting-Angriffen führen.
Beschreibung: Bei der Verarbeitung von URLs vom Typ "feed://" gab es ein Cross-Site-Scripting-Problem. Mit diesem Update wird die Verarbeitung von URLs vom Typ "feed://" entfernt.
CVE-ID
CVE-2012-0678: Masato Kinugawa

Safari
Verfügbar für: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Auswirkung: Der Zugriff auf eine in böser Absicht erstellte Website kann dazu führen, dass Dateien vom System des Benutzers an einen entfernen Server gesendet werden.
Beschreibung: Bei der Verarbeitung von URLs vom Typ "feed://" gab es ein Problem mit der Zugriffskontrolle. Mit diesem Update wird die Verarbeitung von URLs vom Typ "feed://" entfernt.
CVE-ID
CVE-2012-0679: Aaron Sigel von vtty.com

Safari
Verfügbar für: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Auswirkung: Passwörter werden automatisch vervollständigt, auch wenn von der Site angegeben wird, dass das automatische Vervollständigen deaktiviert werden soll.
Beschreibung: Steuerelemente für die Passworteingabe, bei denen das Attribut für die automatische Vervollständigung auf "off" festgelegt wurde, wurden automatisch vervollständigt. Mit diesem Update wird dieses Problem durch eine verbesserte Verarbeitung des Attributs für die automatische Vervollständigung behoben.
CVE-ID
CVE-2012-0680: Dan Poltawski von Moodle

Safari-Downloads
Verfügbar für: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Auswirkung: Das Öffnen von in böswilliger Absicht erstellten Dateien auf bestimmten Websites kann zu Cross-Site-Scripting-Angriffen führen.
Beschreibung: Bei der Unterstützung des "attachment"-Werts für den HTTP-Content-Disposition-Header in Safari lag ein Problem vor. Dieser Header wird von vielen Websites verwendet, um Dateien zu bereitzustellen, die von der Website eines Dritten hochgeladen wurden, beispielsweise Anhänge aus webbasierten E-Mail-Programmen. Jedes Skript in einer Datei, die mit diesem Headerwert bereitgestellt wurde, wird so ausgeführt, als ob die Datei inline bereitgestellt worden wäre, mit vollständigem Zugriff auf andere Ressourcen auf dem Ursprungsserver. Dieses Problem wird behoben, indem die mit diesem Header bereitgestellten Ressourcen heruntergeladen und nicht inline angezeigt werden.
CVE-ID
CVE-2011-3426: Mickey Shkatov von laplinker.com, Kyle Osborn, Hidetake Jo bei Microsoft und Microsoft Vulnerability Research (MSVR)

WebKit
Verfügbar für: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.
Beschreibung: In WebKit gab es mehrere Speicherfehler. Diese Probleme werden durch eine verbesserte Speicherverwaltung behoben.
CVE-ID
CVE-2011-3016: miaubiz
CVE-2011-3021: Arthur Gerkis
CVE-2011-3027: miaubiz
CVE-2011-3032: Arthur Gerkis
CVE-2011-3034: Arthur Gerkis
CVE-2011-3035: wushi von team509 in Zusammenarbeit mit iDefense VCP, Arthur Gerkis
CVE-2011-3036: miaubiz
CVE-2011-3037: miaubiz
CVE-2011-3038: miaubiz
CVE-2011-3039: miaubiz
CVE-2011-3040: miaubiz
CVE-2011-3041: miaubiz
CVE-2011-3042: miaubiz
CVE-2011-3043: miaubiz
CVE-2011-3044: Arthur Gerkis
CVE-2011-3050: miaubiz
CVE-2011-3053: miaubiz
CVE-2011-3059: Arthur Gerkis
CVE-2011-3060: miaubiz
CVE-2011-3064: Atte Kettunen von OUSPG
CVE-2011-3068: miaubiz
CVE-2011-3069: miaubiz
CVE-2011-3071: pa_kt in Zusammenarbeit mit der Zero Day Initiative von HP
CVE-2011-3073: Arthur Gerkis
CVE-2011-3074: Slawomir Blazek
CVE-2011-3075: miaubiz
CVE-2011-3076: miaubiz
CVE-2011-3078: Martin Barbella vom Google Chrome-Sicherheitsteam
CVE-2011-3081: miaubiz
CVE-2011-3086: Arthur Gerkis
CVE-2011-3089: Skylined vom Google Chrome-Sicherheitsteam, miaubiz
CVE-2011-3090: Arthur Gerkis
CVE-2011-3913: Arthur Gerkis
CVE-2011-3924: Arthur Gerkis
CVE-2011-3926: Arthur Gerkis
CVE-2011-3958: miaubiz
CVE-2011-3966: Aki Helin von OUSPG
CVE-2011-3968: Arthur Gerkis
CVE-2011-3969: Arthur Gerkis
CVE-2011-3971: Arthur Gerkis
CVE-2012-0682: Apple-Produktsicherheit
CVE-2012-0683: Dave Mandelin von Mozilla
CVE-2012-1520: Martin Barbella vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer, Jose A. Vazquez von spa-s3c.blogspot.com in Zusammenarbeit mit iDefense VCP
CVE-2012-1521: Skylined vom Google Chrome-Sicherheitsteam, Jose A. Vazquez von spa-s3c.blogspot.com in Zusammenarbeit mit iDefense VCP
CVE-2012-3589: Dave Mandelin von Mozilla
CVE-2012-3590: Apple-Produktsicherheit
CVE-2012-3591: Apple-Produktsicherheit
CVE-2012-3592: Apple-Produktsicherheit
CVE-2012-3593: Apple-Produktsicherheit
CVE-2012-3594: miaubiz
CVE-2012-3595: Martin Barbella von Google Chrome Security
CVE-2012-3596: Skylined vom Google Chrome-Sicherheitsteam
CVE-2012-3597: Abhishek Arya vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer
CVE-2012-3599: Abhishek Arya vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer
CVE-2012-3600: David Levin von der Chromium-Entwicklergemeinde
CVE-2012-3603: Apple-Produktsicherheit
CVE-2012-3604: Skylined vom Google Chrome-Sicherheitsteam
CVE-2012-3605: Cris Neckar vom Google Chrome-Sicherheitsteam
CVE-2012-3608: Skylined vom Google Chrome-Sicherheitsteam
CVE-2012-3609: Skylined vom Google Chrome-Sicherheitsteam
CVE-2012-3610: Skylined vom Google Chrome-Sicherheitsteam
CVE-2012-3611: Apple-Produktsicherheit
CVE-2012-3615: Stephen Chenney von der Chromium-Entwicklergemeinde
CVE-2012-3618: Abhishek Arya vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer
CVE-2012-3620: Abhishek Arya vom Google Chrome-Sicherheitsteam
CVE-2012-3625: SkyLined vom Google Chrome-Sicherheitsteam
CVE-2012-3626: Apple-Produktsicherheit
CVE-2012-3627: Skylined und Abhishek Arya vom Google Chrome-Sicherheitsteam
CVE-2012-3628: Apple-Produktsicherheit
CVE-2012-3629: Abhishek Arya vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer
CVE-2012-3630: Abhishek Arya vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer
CVE-2012-3631: Abhishek Arya vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer
CVE-2012-3633: Martin Barbella vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer
CVE-2012-3634: Martin Barbella vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer
CVE-2012-3635: Martin Barbella vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer
CVE-2012-3636: Martin Barbella vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer
CVE-2012-3637: Martin Barbella vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer
CVE-2012-3638: Martin Barbella vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer
CVE-2012-3639: Martin Barbella vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer
CVE-2012-3640: miaubiz
CVE-2012-3641: Slawomir Blazek
CVE-2012-3642: miaubiz
CVE-2012-3644: miaubiz
CVE-2012-3645: Martin Barbella vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer
CVE-2012-3646: Julien Chaffraix von der Chromium-Entwicklergemeinde, Martin Barbella vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer
CVE-2012-3653: Martin Barbella vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer
CVE-2012-3655: Skylined vom Google Chrome-Sicherheitsteam
CVE-2012-3656: Abhishek Arya vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer
CVE-2012-3661: Apple-Produktsicherheit
CVE-2012-3663: SkyLined vom Google Chrome-Sicherheitsteam
CVE-2012-3664: Thomas Sepez von der Chromium-Entwicklergemeinde
CVE-2012-3665: Martin Barbella vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer
CVE-2012-3666: Apple
CVE-2012-3667: Trevor Squires von propaneapp.com
CVE-2012-3668: Apple-Produktsicherheit
CVE-2012-3669: Apple-Produktsicherheit
CVE-2012-3670: Abhishek Arya vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer, Arthur Gerkis
CVE-2012-3674: SkyLined vom Google Chrome-Sicherheitsteam
CVE-2012-3678: Apple-Produktsicherheit
CVE-2012-3679: Chris Leary von Mozilla
CVE-2012-3680: SkyLined vom Google Chrome-Sicherheitsteam
CVE-2012-3681: Apple
CVE-2012-3682: Adam Barth vom Google Chrome-Sicherheitsteam
CVE-2012-3683: wushi von team509 in Zusammenarbeit mit iDefense VCP
CVE-2012-3686: Robin Cao von Torch Mobile (Beijing)

WebKit
Verfügbar für: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Auswirkung: Drag & Drop von ausgewähltem Text auf einer Webseite kann zur Offenlegung von Informationen auf anderen Websites führen.
Beschreibung: Bei der Verarbeitung von Drag & Drop-Ereignissen lag ein Cross-Origin-Problem vor. Das Problem wird durch ein verbessertes Origin-Tracking behoben.
CVE-ID
CVE-2012-3689: David Bloom von Cue

WebKit
Verfügbar für: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Auswirkung: Drag & Drop von ausgewähltem Text auf einer Webseite kann dazu führen, dass Dateien aus dem System des Benutzers an einen Remoteserver gesendet werden.
Beschreibung: Bei der Verarbeitung von Drag & Drop-Ereignissen lag ein Problem mit der Zugriffskontrolle vor. Das Problem wird durch ein verbessertes Origin-Tracking behoben.
CVE-ID
CVE-2012-3690: David Bloom von Cue

WebKit
Verfügbar für: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zur Offenlegung von Informationen auf anderen Websites führen.
Beschreibung: Bei der Verarbeitung von CSS-Eigenschaftenwerten gab es ein Cross-Origin-Problem. Das Problem wird durch ein verbessertes Origin-Tracking behoben.
CVE-ID
CVE-2012-3691: Apple

WebKit
Verfügbar für: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Auswirkung: Eine in böser Absicht erstellte Website kann den Inhalt eines iframe auf einer anderen Site ersetzen.
Beschreibung: Bei der Verarbeitung von iframes in Popup-Fenstern gab es ein Cross-Origin-Problem. Das Problem wird durch ein verbessertes Origin-Tracking behoben.
CVE-ID
CVE-2011-3067: Sergey Glazunov

WebKit
Verfügbar für: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zur Offenlegung von Informationen auf anderen Websites führen.
Beschreibung: Bei der Verarbeitung von iframes und Fragmentbezeichnern gab es ein Cross-Origin-Problem. Das Problem wird durch ein verbessertes Origin-Tracking behoben.
CVE-ID
CVE-2012-2815: Elie Bursztein, Baptiste Gourdin, Gustav Rydstedt und Dan Boneh vom Stanford University Security Laboratory

WebKit
Verfügbar für: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Auswirkung: Doppelgängerzeichen in einer URL können zur Maskierung einer Website verwendet werden.
Beschreibung: Die IDN-Unterstützung (International Domain Name) und die in Safari integrierten Unicode-Schriftarten konnten verwendet werden, um URLs zu erstellen, die Doppelgängerzeichen enthalten. Diese konnten in einer schädlichen Website verwendet werden, um den Benutzer auf eine gefälschte Site zu leiten, die auf den ersten Blick eine legitime Domain aufzuweisen scheint. Dieses Problem wird behoben, indem die WebKit-Liste der bekannten Doppelgängerzeichen ergänzt wird. Doppelgängerzeichen werden in der Adressleiste mit Punycode gerendert.
CVE-ID
CVE-2012-3693: Matt Cooley von Symantec

WebKit
Verfügbar für: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Auswirkung: Beim Ziehen und Ablegen einer Datei in Safari kann der Pfad der Datei im Dateisystem für die Website offengelegt werden.
Beschreibung: Bei der Verarbeitung von gezogenen Dateien kann es zur Offenlegung von Informationen kommen. Dieses Problem wird durch eine verbesserte Verarbeitung von gezogenen Dateien behoben.
CVE-ID
CVE-2012-3694: Daniel Cheng von Google, Aaron Sigel von vtty.com

WebKit
Verfügbar für: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu Cross-Site-Scripting-Angriffen führen.
Beschreibung: Es bestand ein Problem mit der Umwandlung von URLs in kanonische Formate bei der Verarbeitung von URLs. Dies kann zur siteübergreifendem Skriptausführung auf Sites führen, die die location.href-Eigenschaft verwenden. Dieses Problem wird durch verbesserte Umwandlung von URLs in kanonische Formate behoben.
CVE-ID
CVE-2012-3695: Masato Kinugawa

WebKit
Verfügbar für: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Auswirkung: Das Aufrufen einer in böser Absicht erstellten Website kann zur Aufteilung von HTTP-Anforderungen führen.
Beschreibung: Bei der Verarbeitung von WebSockets lag ein Problem mit der Injektion von HTTP-Headern vor. Dieses Problem wird durch eine verbesserte WebSockets-URI-Bereinigung behoben.
CVE-ID
CVE-2012-3696: David Belcher vom BlackBerry Security Incident Response Team

WebKit
Verfügbar für: OS X Lion 10.7.4, OS X Lion Server 10.7.4
Auswirkung: Eine in böser Absicht erstellte Website könnte den Wert in der URL-Leiste vortäuschen.
Beschreibung: Bei der Verarbeitung des Sitzungsverlaufs lag ein Problem mit der Statusverwaltung vor. Die Navigation zu einem Fragment auf der aktuellen Seite kann dazu führen, dass in Safari falsche Informationen in der URL-Leiste angezeigt werden. Das Problem wird durch eine verbesserte Verfolgung des Sitzungsstatus behoben.
CVE-ID
CVE-2011-2845: Jordi Chancel

WebKit
Verfügbar für: OS X Lion 10.7.4, Lion Server 10.7.4
Auswirkung: Ein Angreifer kann in der Lage sein, die Sandbox zu verlassen und auf alle Dateien zuzugreifen, auf die der aktuelle Benutzer Zugriff hat.
Beschreibung: Bei der Verarbeitung von Datei-URLs gab es ein Problem mit der Zugriffskontrolle. Ein Angreifer, dem die Ausführung willkürlichen Codes in einem Safari-WebProcess gewährt wird, kann die Sandbox umgehen und auf jede Datei zugreifen, auf die der Benutzer Zugriff hat, der Safari ausführt. Dieses Problem wird durch eine verbesserte Verarbeitung von Datei-URLs behoben.
CVE-ID
CVE-2012-3697: Aaron Sigel von vtty.com

WebKit
Verfügbar für: OS X Lion 10.7.4, Lion Server 10.7.4
Auswirkung: Das Aufrufen einer in böser Absicht erstellten Website kann zur Offenlegung von Speicherinhalten führen.
Beschreibung: Bei der Verarbeitung von SVG-Bildern bestand ein Problem mit dem Zugriff auf nicht initialisierten Speicher. Dieses Problem wird durch eine verbesserte Speicherinitialisierung behoben.
CVE-ID
CVE-2012-3650: Apple

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: November 03, 2023