Acerca del contenido de seguridad de Safari 6

Este documento describe el contenido de seguridad de Safari 6.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener información acerca de la Clave PGP de la Seguridad de los productos de Apple, visita "Cómo usar la Clave PGP de la Seguridad de los productos de Apple".

Siempre que sea posible, se utilizan ID CVE para hacer referencia a las vulnerabilidades a fin de obtener más información.

Para obtener información acerca de las actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".

Safari 6.0

Safari

Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

Impacto: Visitar un sitio web creado con fines malintencionados podría provocar un ataque a la vulnerabilidad de secuencias de comandos entre sitios cruzados

Descripción: Existía un problema en las secuencias de comandos entre sitios cruzados durante el procesamiento de direcciones URL de canal. Esta actualización elimina el procesamiento de URL de canal.

ID CVE

CVE-2012-0678: Masato Kinugawa

Safari

Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

Impacto: Visitar un sitio web creado con fines malintencionados podría provocar que los archivos del sistema del usuario se envíen a un servidor remoto

Descripción: Existía un problema de control de acceso en el procesamiento de direcciones URL de canal. Esta actualización elimina el procesamiento de URL de canal.

ID CVE

CVE-2012-0679: Aaron Sigel de vtty.com

Safari

Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

Impacto: Es posible que las contraseñas se completen automáticamente incluso cuando el sitio especifica que la función Autocompletar debe estar desactivada

Descripción: Los elementos de entrada de contraseñas con el atributo Autocompletar desactivado se completaban automáticamente. Esta actualización resuelve el problema a través de mejoras en el manejo de los atributos Autocompletar.

ID CVE

CVE-2012-0680: Dan Poltawski de Moodle

Descargas de Safari

Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

Impacto: Abrir archivos creados con fines malintencionados en determinados sitios web podría provocar un ataque a la vulnerabilidad de secuencias de comandos entre sitios cruzados

Descripción: Existía un problema de compatibilidad de Safari con el valor 'attachment' en el encabezado HTTP Content-Disposition. Muchos sitios web utilizan este encabezado para ofrecer archivos que se cargaron en el sitio mediante terceros, como archivos adjuntos en aplicaciones web de correo electrónico. Una secuencia de comandos en los archivos ofrecidos con este valor de encabezado podría ejecutarse como si el archivo se hubiera ofrecido en línea, con acceso total a otros recursos en el servidor de origen. Para solucionar este problema, los recursos ofrecidos con este encabezado se deben descargar, en lugar de verse en línea.

ID CVE

CVE-2011-3426: Mickey Shkatov de laplinker.com, Kyle Osborn, Hidetake Jo de Microsoft y Microsoft Vulnerability Research (MSVR)

WebKit

Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

Impacto: Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: Existían varios problemas de corrupción de memoria en WebKit. Para solucionar estos problemas, se debe mejorar el manejo de la memoria.

ID CVE

CVE-2011-3016: miaubiz

CVE-2011-3021: Arthur Gerkis

CVE-2011-3027: miaubiz

CVE-2011-3032: Arthur Gerkis

CVE-2011-3034: Arthur Gerkis

CVE-2011-3035: wushi de team509 en colaboración con iDefense VCP, Arthur Gerkis

CVE-2011-3036: miaubiz

CVE-2011-3037: miaubiz

CVE-2011-3038: miaubiz

CVE-2011-3039: miaubiz

CVE-2011-3040: miaubiz

CVE-2011-3041: miaubiz

CVE-2011-3042: miaubiz

CVE-2011-3043: miaubiz

CVE-2011-3044: Arthur Gerkis

CVE-2011-3050: miaubiz

CVE-2011-3053: miaubiz

CVE-2011-3059: Arthur Gerkis

CVE-2011-3060: miaubiz

CVE-2011-3064: Atte Kettunen de OUSPG

CVE-2011-3068: miaubiz

CVE-2011-3069: miaubiz

CVE-2011-3071: pa_kt en colaboración con Zero Day Initiative de HP

CVE-2011-3073: Arthur Gerkis

CVE-2011-3074: Slawomir Blazek

CVE-2011-3075: miaubiz

CVE-2011-3076: miaubiz

CVE-2011-3078: Martin Barbella de Google Chrome Security Team

CVE-2011-3081: miaubiz

CVE-2011-3086: Arthur Gerkis

CVE-2011-3089: Skylined de Google Chrome Security Team, miaubiz

CVE-2011-3090: Arthur Gerkis

CVE-2011-3913: Arthur Gerkis

CVE-2011-3924: Arthur Gerkis

CVE-2011-3926: Arthur Gerkis

CVE-2011-3958: miaubiz

CVE-2011-3966: Aki Helin de OUSPG

CVE-2011-3968: Arthur Gerkis

CVE-2011-3969: Arthur Gerkis

CVE-2011-3971: Arthur Gerkis

CVE-2012-0682: Seguridad de los productos Apple

CVE-2012-0683: Dave Mandelin de Mozilla

CVE-2012-1520: Martin Barbella de Google Chrome Security Team usando AddressSanitizer, Jose A. Vazquez de spa-s3c.blogspot.com en colaboración con iDefense VCP

CVE-2012-1521: Skylined de Google Chrome Security Team, Jose A. Vazquez de spa-s3c.blogspot.com en colaboración con iDefense VCP

CVE-2012-3589: Dave Mandelin de Mozilla

CVE-2012-3590: Seguridad de los productos Apple

CVE-2012-3591: Seguridad de los productos Apple

CVE-2012-3592: Seguridad de los productos Apple

CVE-2012-3593: Seguridad de los productos Apple

CVE-2012-3594: miaubiz

CVE-2012-3595: Martin Barbella de Google Chrome Security

CVE-2012-3596: Skylined de Google Chrome Security Team

CVE-2012-3597: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer

CVE-2012-3599: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer

CVE-2012-3600: David Levin de la comunidad de desarrollo Chromium

CVE-2012-3603: Seguridad de los productos Apple

CVE-2012-3604: Skylined de Google Chrome Security Team

CVE-2012-3605: Cris Neckar de Google Chrome Security Team

CVE-2012-3608: Skylined de Google Chrome Security Team

CVE-2012-3609: Skylined de Google Chrome Security Team

CVE-2012-3610: Skylined de Google Chrome Security Team

CVE-2012-3611: Seguridad de los productos Apple

CVE-2012-3615: Stephen Chenney de la comunidad de desarrollo Chromium

CVE-2012-3618: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer

CVE-2012-3620: Abhishek Arya de Google Chrome Security Team

CVE-2012-3625: Skylined de Google Chrome Security Team

CVE-2012-3626: Seguridad de los productos Apple

CVE-2012-3627: Skylined y Abhishek Arya de Google Chrome Security Team

CVE-2012-3628: Seguridad de los productos Apple

CVE-2012-3629: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer

CVE-2012-3630: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer

CVE-2012-3631: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer

CVE-2012-3633: Martin Barbella de Google Chrome Security Team usando AddressSanitizer

CVE-2012-3634: Martin Barbella de Google Chrome Security Team usando AddressSanitizer

CVE-2012-3635: Martin Barbella de Google Chrome Security Team usando AddressSanitizer

CVE-2012-3636: Martin Barbella de Google Chrome Security Team usando AddressSanitizer

CVE-2012-3637: Martin Barbella de Google Chrome Security Team usando AddressSanitizer

CVE-2012-3638: Martin Barbella de Google Chrome Security Team usando AddressSanitizer

CVE-2012-3639: Martin Barbella de Google Chrome Security Team usando AddressSanitizer

CVE-2012-3640: miaubiz

CVE-2012-3641: Slawomir Blazek

CVE-2012-3642: miaubiz

CVE-2012-3644: miaubiz

CVE-2012-3645: Martin Barbella de Google Chrome Security Team usando AddressSanitizer

CVE-2012-3646: Julien Chaffraix de la comunidad de desarrollo Chromium, Martin Barbella de Google Chrome Security Team usando AddressSanitizer

CVE-2012-3653: Martin Barbella de Google Chrome Security Team usando AddressSanitizer

CVE-2012-3655: Skylined de Google Chrome Security Team

CVE-2012-3656: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer

CVE-2012-3661: Seguridad de los productos Apple

CVE-2012-3663: Skylined de Google Chrome Security Team

CVE-2012-3664: Thomas Sepez de la comunidad de desarrollo Chromium

CVE-2012-3665: Martin Barbella de Google Chrome Security Team usando AddressSanitizer

CVE-2012-3666: Apple

CVE-2012-3667: Trevor Squires de propaneapp.com

CVE-2012-3668: Seguridad de los productos Apple

CVE-2012-3669: Seguridad de los productos Apple

CVE-2012-3670: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer, Arthur Gerkis

CVE-2012-3674: Skylined de Google Chrome Security Team

CVE-2012-3678: Seguridad de los productos Apple

CVE-2012-3679: Chris Leary de Mozilla

CVE-2012-3680: Skylined de Google Chrome Security Team

CVE-2012-3681: Apple

CVE-2012-3682: Adam Barth de Google Chrome Security Team

CVE-2012-3683: wushi de team509 en colaboración con iDefense VCP

CVE-2012-3686: Robin Cao de Torch Mobile (Pekín)

WebKit

Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

Impacto: La opción de arrastrar y soltar texto seleccionado en una página web podría provocar la divulgación de información entre sitios

Descripción: Existía un problema de orígenes cruzados en el procesamiento de eventos de arrastrar y soltar. Para solucionar este problema, se debe mejorar el seguimiento de orígenes.

ID CVE

CVE-2012-3689: David Bloom de Cue

WebKit

Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

Impacto: La opción de arrastrar y soltar texto seleccionado en una página web podría provocar que los archivos del sistema del usuario se envíen a un servidor remoto

Descripción: Existía un problema de control de acceso en el procesamiento de los eventos de arrastrar y soltar. Para solucionar este problema, se debe mejorar el seguimiento de orígenes.

ID CVE

CVE-2012-3690: David Bloom de Cue

WebKit

Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

Impacto: Visitar un sitio web creado con fines malintencionados podría provocar la divulgación de información entre sitios

Descripción: Existía un problema de orígenes cruzados en el procesamiento de valores de propiedad de CSS. Para solucionar este problema, se debe mejorar el seguimiento de orígenes.

ID CVE

CVE-2012-3691: Apple

WebKit

Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

Impacto: Es posible que un sitio web creado con fines malintencionados pueda sustituir el contenido de un iFrame en otro sitio

Descripción: Existía un problema de orígenes cruzados en el procesamiento de iFrames en las ventanas emergentes. Para solucionar este problema, se debe mejorar el seguimiento de orígenes.

ID CVE

CVE-2011-3067: Sergey Glazunov

WebKit

Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

Impacto: Visitar un sitio web creado con fines malintencionados podría provocar la divulgación de información entre sitios

Descripción: Existía un problema de orígenes cruzados en el procesamiento de iFrames e identificadores de fragmentos. Para solucionar este problema, se debe mejorar el seguimiento de orígenes.

ID CVE

CVE-2012-2815: Elie Bursztein, Baptiste Gourdin, Gustav Rydstedt y Dan Boneh del laboratorio de seguridad de Stanford University

WebKit

Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

Impacto: Caracteres similares en una dirección URL podrían utilizarse para enmascarar un sitio web

Descripción: La compatibilidad con el nombre de dominio internacionalizado (IDN) y los tipos de letra Unicode integrados en Safari se podrían usar para crear una URL que contuviera caracteres similares. Estos podrían emplearse en un sitio web malintencionado para remitir al usuario a un sitio falso que visualmente se pareciera a un dominio legítimo. Para solucionar este problema, se debe complementar la lista de WebKit de caracteres similares conocidos. Los caracteres similares se muestran en Punycode en la barra de direcciones.

ID CVE

CVE-2012-3693: Matt Cooley de Symantec

WebKit

Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

Impacto: La opción de arrastrar y soltar un archivo en Safari podría revelar la ruta del sistema de archivos para el archivo en el sitio web

Descripción: Existía un problema de divulgación de información en el manejo de los archivos arrastrados. Para solucionar este problema, se debe mejorar el manejo de los archivos arrastrados.

ID CVE

CVE-2012-3694: Daniel Cheng de Google, Aaron Sigel de vtty.com

WebKit

Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

Impacto: Visitar un sitio web creado con fines malintencionados podría provocar un ataque a la vulnerabilidad de secuencias de comandos entre sitios cruzados

Descripción: Existía un problema de canonización en el procesamiento de direcciones URL. Esto podía generar secuencias de comandos entre sitios cruzados en las que se utilice la propiedad location.href. Para solucionar este problema, se debe mejorar la canonización de URL.

ID CVE

CVE-2012-3695: Masato Kinugawa

WebKit

Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

Impacto: Visitar un sitio web creado con fines malintencionados podría provocar la división de la solicitud HTTP

Descripción: Existía un problema en la inyección de encabezados HTTP durante el procesamiento de WebSockets. Para solucionar este problema, se debe mejorar el saneamiento de la URI de WebSockets.

ID CVE

CVE-2012-3696: David Belcher de BlackBerry Security Incident Response Team

WebKit

Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

Impacto: Un sitio web creado con fines malintencionados podría suplantar el valor de la barra de direcciones URL

Descripción: Existía un problema de administración de estado en el procesamiento del historial de sesiones. Navegar a un fragmento de la página actual podría provocar que Safari muestre información incorrecta en la barra de direcciones URL. Para solucionar este problema, se debe mejorar el seguimiento del estado de la sesión.

ID CVE

CVE-2011-2845: Jordi Chancel

WebKit

Disponible para: OS X Lion v10.7.4, Lion Server v10.7.4

Impacto: Un atacante podría escapar de la zona protegida y acceder a cualquier archivo al que el usuario actual tenga acceso

Descripción: Existía un problema de control de acceso en el procesamiento de direcciones URL de archivos. Un atacante con capacidad de ejecutar código arbitrario en un WebProcess de Safari podría eludir la zona protegida y acceder a cualquier archivo al que tenga acceso el usuario que ejecute Safari. Para solucionar este problema, se debe mejorar el procesamiento de direcciones URL de archivos.

ID CVE

CVE-2012-3697: Aaron Sigel de vtty.com

WebKit

Disponible para: OS X Lion v10.7.4, Lion Server v10.7.4

Impacto: Visitar un sitio web creado con fines malintencionados podía provocar la divulgación de contenido de la memoria

Descripción: Existía un problema de acceso a memoria no inicializada en el manejo de imágenes SVG. Para solucionar este problema, se debe mejorar la inicialización de la memoria.

ID CVE

CVE-2012-3650: Apple

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados o probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o productos de otros fabricantes. Apple no ofrece ninguna representación con relación a la precisión o fiabilidad de los sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Comunícate con el proveedor para obtener información adicional. Otros nombres de compañías y productos mencionados pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: abril 06, 2015

Acerca del contenido de seguridad de Safari 6

Safari 6.0

Iniciar un tema