Acerca del contenido de seguridad de Safari 6

Este documento describe el contenido de seguridad de Safari 6.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener información acerca de la Clave PGP de la Seguridad de los productos de Apple, visita "Cómo usar la Clave PGP de la Seguridad de los productos de Apple".

Siempre que sea posible, se utilizan ID CVE para hacer referencia a las vulnerabilidades a fin de obtener más información.

Para obtener información acerca de las actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".

Safari 6.0

  • Safari

    Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar un ataque a la vulnerabilidad de secuencias de comandos entre sitios cruzados

    Descripción: Existía un problema en las secuencias de comandos entre sitios cruzados durante el procesamiento de direcciones URL de canal. Esta actualización elimina el procesamiento de URL de canal.

    ID CVE

    CVE-2012-0678: Masato Kinugawa

  • Safari

    Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar que los archivos del sistema del usuario se envíen a un servidor remoto

    Descripción: Existía un problema de control de acceso en el procesamiento de direcciones URL de canal. Esta actualización elimina el procesamiento de URL de canal.

    ID CVE

    CVE-2012-0679: Aaron Sigel de vtty.com

  • Safari

    Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: Es posible que las contraseñas se completen automáticamente incluso cuando el sitio especifica que la función Autocompletar debe estar desactivada

    Descripción: Los elementos de entrada de contraseñas con el atributo Autocompletar desactivado se completaban automáticamente. Esta actualización resuelve el problema a través de mejoras en el manejo de los atributos Autocompletar.

    ID CVE

    CVE-2012-0680: Dan Poltawski de Moodle

  • Descargas de Safari

    Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: Abrir archivos creados con fines malintencionados en determinados sitios web podría provocar un ataque a la vulnerabilidad de secuencias de comandos entre sitios cruzados

    Descripción: Existía un problema de compatibilidad de Safari con el valor 'attachment' en el encabezado HTTP Content-Disposition. Muchos sitios web utilizan este encabezado para ofrecer archivos que se cargaron en el sitio mediante terceros, como archivos adjuntos en aplicaciones web de correo electrónico. Una secuencia de comandos en los archivos ofrecidos con este valor de encabezado podría ejecutarse como si el archivo se hubiera ofrecido en línea, con acceso total a otros recursos en el servidor de origen. Para solucionar este problema, los recursos ofrecidos con este encabezado se deben descargar, en lugar de verse en línea.

    ID CVE

    CVE-2011-3426: Mickey Shkatov de laplinker.com, Kyle Osborn, Hidetake Jo de Microsoft y Microsoft Vulnerability Research (MSVR)

  • WebKit

    Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existían varios problemas de corrupción de memoria en WebKit. Para solucionar estos problemas, se debe mejorar el manejo de la memoria.

    ID CVE

    CVE-2011-3016: miaubiz

    CVE-2011-3021: Arthur Gerkis

    CVE-2011-3027: miaubiz

    CVE-2011-3032: Arthur Gerkis

    CVE-2011-3034: Arthur Gerkis

    CVE-2011-3035: wushi de team509 en colaboración con iDefense VCP, Arthur Gerkis

    CVE-2011-3036: miaubiz

    CVE-2011-3037: miaubiz

    CVE-2011-3038: miaubiz

    CVE-2011-3039: miaubiz

    CVE-2011-3040: miaubiz

    CVE-2011-3041: miaubiz

    CVE-2011-3042: miaubiz

    CVE-2011-3043: miaubiz

    CVE-2011-3044: Arthur Gerkis

    CVE-2011-3050: miaubiz

    CVE-2011-3053: miaubiz

    CVE-2011-3059: Arthur Gerkis

    CVE-2011-3060: miaubiz

    CVE-2011-3064: Atte Kettunen de OUSPG

    CVE-2011-3068: miaubiz

    CVE-2011-3069: miaubiz

    CVE-2011-3071: pa_kt en colaboración con Zero Day Initiative de HP

    CVE-2011-3073: Arthur Gerkis

    CVE-2011-3074: Slawomir Blazek

    CVE-2011-3075: miaubiz

    CVE-2011-3076: miaubiz

    CVE-2011-3078: Martin Barbella de Google Chrome Security Team

    CVE-2011-3081: miaubiz

    CVE-2011-3086: Arthur Gerkis

    CVE-2011-3089: Skylined de Google Chrome Security Team, miaubiz

    CVE-2011-3090: Arthur Gerkis

    CVE-2011-3913: Arthur Gerkis

    CVE-2011-3924: Arthur Gerkis

    CVE-2011-3926: Arthur Gerkis

    CVE-2011-3958: miaubiz

    CVE-2011-3966: Aki Helin de OUSPG

    CVE-2011-3968: Arthur Gerkis

    CVE-2011-3969: Arthur Gerkis

    CVE-2011-3971: Arthur Gerkis

    CVE-2012-0682: Seguridad de los productos Apple

    CVE-2012-0683: Dave Mandelin de Mozilla

    CVE-2012-1520: Martin Barbella de Google Chrome Security Team usando AddressSanitizer, Jose A. Vazquez de spa-s3c.blogspot.com en colaboración con iDefense VCP

    CVE-2012-1521: Skylined de Google Chrome Security Team, Jose A. Vazquez de spa-s3c.blogspot.com en colaboración con iDefense VCP

    CVE-2012-3589: Dave Mandelin de Mozilla

    CVE-2012-3590: Seguridad de los productos Apple

    CVE-2012-3591: Seguridad de los productos Apple

    CVE-2012-3592: Seguridad de los productos Apple

    CVE-2012-3593: Seguridad de los productos Apple

    CVE-2012-3594: miaubiz

    CVE-2012-3595: Martin Barbella de Google Chrome Security

    CVE-2012-3596: Skylined de Google Chrome Security Team

    CVE-2012-3597: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer

    CVE-2012-3599: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer

    CVE-2012-3600: David Levin de la comunidad de desarrollo Chromium

    CVE-2012-3603: Seguridad de los productos Apple

    CVE-2012-3604: Skylined de Google Chrome Security Team

    CVE-2012-3605: Cris Neckar de Google Chrome Security Team

    CVE-2012-3608: Skylined de Google Chrome Security Team

    CVE-2012-3609: Skylined de Google Chrome Security Team

    CVE-2012-3610: Skylined de Google Chrome Security Team

    CVE-2012-3611: Seguridad de los productos Apple

    CVE-2012-3615: Stephen Chenney de la comunidad de desarrollo Chromium

    CVE-2012-3618: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer

    CVE-2012-3620: Abhishek Arya de Google Chrome Security Team

    CVE-2012-3625: Skylined de Google Chrome Security Team

    CVE-2012-3626: Seguridad de los productos Apple

    CVE-2012-3627: Skylined y Abhishek Arya de Google Chrome Security Team

    CVE-2012-3628: Seguridad de los productos Apple

    CVE-2012-3629: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer

    CVE-2012-3630: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer

    CVE-2012-3631: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer

    CVE-2012-3633: Martin Barbella de Google Chrome Security Team usando AddressSanitizer

    CVE-2012-3634: Martin Barbella de Google Chrome Security Team usando AddressSanitizer

    CVE-2012-3635: Martin Barbella de Google Chrome Security Team usando AddressSanitizer

    CVE-2012-3636: Martin Barbella de Google Chrome Security Team usando AddressSanitizer

    CVE-2012-3637: Martin Barbella de Google Chrome Security Team usando AddressSanitizer

    CVE-2012-3638: Martin Barbella de Google Chrome Security Team usando AddressSanitizer

    CVE-2012-3639: Martin Barbella de Google Chrome Security Team usando AddressSanitizer

    CVE-2012-3640: miaubiz

    CVE-2012-3641: Slawomir Blazek

    CVE-2012-3642: miaubiz

    CVE-2012-3644: miaubiz

    CVE-2012-3645: Martin Barbella de Google Chrome Security Team usando AddressSanitizer

    CVE-2012-3646: Julien Chaffraix de la comunidad de desarrollo Chromium, Martin Barbella de Google Chrome Security Team usando AddressSanitizer

    CVE-2012-3653: Martin Barbella de Google Chrome Security Team usando AddressSanitizer

    CVE-2012-3655: Skylined de Google Chrome Security Team

    CVE-2012-3656: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer

    CVE-2012-3661: Seguridad de los productos Apple

    CVE-2012-3663: Skylined de Google Chrome Security Team

    CVE-2012-3664: Thomas Sepez de la comunidad de desarrollo Chromium

    CVE-2012-3665: Martin Barbella de Google Chrome Security Team usando AddressSanitizer

    CVE-2012-3666: Apple

    CVE-2012-3667: Trevor Squires de propaneapp.com

    CVE-2012-3668: Seguridad de los productos Apple

    CVE-2012-3669: Seguridad de los productos Apple

    CVE-2012-3670: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer, Arthur Gerkis

    CVE-2012-3674: Skylined de Google Chrome Security Team

    CVE-2012-3678: Seguridad de los productos Apple

    CVE-2012-3679: Chris Leary de Mozilla

    CVE-2012-3680: Skylined de Google Chrome Security Team

    CVE-2012-3681: Apple

    CVE-2012-3682: Adam Barth de Google Chrome Security Team

    CVE-2012-3683: wushi de team509 en colaboración con iDefense VCP

    CVE-2012-3686: Robin Cao de Torch Mobile (Pekín)

  • WebKit

    Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: La opción de arrastrar y soltar texto seleccionado en una página web podría provocar la divulgación de información entre sitios

    Descripción: Existía un problema de orígenes cruzados en el procesamiento de eventos de arrastrar y soltar. Para solucionar este problema, se debe mejorar el seguimiento de orígenes.

    ID CVE

    CVE-2012-3689: David Bloom de Cue

  • WebKit

    Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: La opción de arrastrar y soltar texto seleccionado en una página web podría provocar que los archivos del sistema del usuario se envíen a un servidor remoto

    Descripción: Existía un problema de control de acceso en el procesamiento de los eventos de arrastrar y soltar. Para solucionar este problema, se debe mejorar el seguimiento de orígenes.

    ID CVE

    CVE-2012-3690: David Bloom de Cue

  • WebKit

    Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar la divulgación de información entre sitios

    Descripción: Existía un problema de orígenes cruzados en el procesamiento de valores de propiedad de CSS. Para solucionar este problema, se debe mejorar el seguimiento de orígenes.

    ID CVE

    CVE-2012-3691: Apple

  • WebKit

    Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: Es posible que un sitio web creado con fines malintencionados pueda sustituir el contenido de un iFrame en otro sitio

    Descripción: Existía un problema de orígenes cruzados en el procesamiento de iFrames en las ventanas emergentes. Para solucionar este problema, se debe mejorar el seguimiento de orígenes.

    ID CVE

    CVE-2011-3067: Sergey Glazunov

  • WebKit

    Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar la divulgación de información entre sitios

    Descripción: Existía un problema de orígenes cruzados en el procesamiento de iFrames e identificadores de fragmentos. Para solucionar este problema, se debe mejorar el seguimiento de orígenes.

    ID CVE

    CVE-2012-2815: Elie Bursztein, Baptiste Gourdin, Gustav Rydstedt y Dan Boneh del laboratorio de seguridad de Stanford University

  • WebKit

    Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: Caracteres similares en una dirección URL podrían utilizarse para enmascarar un sitio web

    Descripción: La compatibilidad con el nombre de dominio internacionalizado (IDN) y los tipos de letra Unicode integrados en Safari se podrían usar para crear una URL que contuviera caracteres similares. Estos podrían emplearse en un sitio web malintencionado para remitir al usuario a un sitio falso que visualmente se pareciera a un dominio legítimo. Para solucionar este problema, se debe complementar la lista de WebKit de caracteres similares conocidos. Los caracteres similares se muestran en Punycode en la barra de direcciones.

    ID CVE

    CVE-2012-3693: Matt Cooley de Symantec

  • WebKit

    Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: La opción de arrastrar y soltar un archivo en Safari podría revelar la ruta del sistema de archivos para el archivo en el sitio web

    Descripción: Existía un problema de divulgación de información en el manejo de los archivos arrastrados. Para solucionar este problema, se debe mejorar el manejo de los archivos arrastrados.

    ID CVE

    CVE-2012-3694: Daniel Cheng de Google, Aaron Sigel de vtty.com

  • WebKit

    Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar un ataque a la vulnerabilidad de secuencias de comandos entre sitios cruzados

    Descripción: Existía un problema de canonización en el procesamiento de direcciones URL. Esto podía generar secuencias de comandos entre sitios cruzados en las que se utilice la propiedad location.href. Para solucionar este problema, se debe mejorar la canonización de URL.

    ID CVE

    CVE-2012-3695: Masato Kinugawa

  • WebKit

    Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar la división de la solicitud HTTP

    Descripción: Existía un problema en la inyección de encabezados HTTP durante el procesamiento de WebSockets. Para solucionar este problema, se debe mejorar el saneamiento de la URI de WebSockets.

    ID CVE

    CVE-2012-3696: David Belcher de BlackBerry Security Incident Response Team

  • WebKit

    Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: Un sitio web creado con fines malintencionados podría suplantar el valor de la barra de direcciones URL

    Descripción: Existía un problema de administración de estado en el procesamiento del historial de sesiones. Navegar a un fragmento de la página actual podría provocar que Safari muestre información incorrecta en la barra de direcciones URL. Para solucionar este problema, se debe mejorar el seguimiento del estado de la sesión.

    ID CVE

    CVE-2011-2845: Jordi Chancel

  • WebKit

    Disponible para: OS X Lion v10.7.4, Lion Server v10.7.4

    Impacto: Un atacante podría escapar de la zona protegida y acceder a cualquier archivo al que el usuario actual tenga acceso

    Descripción: Existía un problema de control de acceso en el procesamiento de direcciones URL de archivos. Un atacante con capacidad de ejecutar código arbitrario en un WebProcess de Safari podría eludir la zona protegida y acceder a cualquier archivo al que tenga acceso el usuario que ejecute Safari. Para solucionar este problema, se debe mejorar el procesamiento de direcciones URL de archivos.

    ID CVE

    CVE-2012-3697: Aaron Sigel de vtty.com

  • WebKit

    Disponible para: OS X Lion v10.7.4, Lion Server v10.7.4

    Impacto: Visitar un sitio web creado con fines malintencionados podía provocar la divulgación de contenido de la memoria

    Descripción: Existía un problema de acceso a memoria no inicializada en el manejo de imágenes SVG. Para solucionar este problema, se debe mejorar la inicialización de la memoria.

    ID CVE

    CVE-2012-3650: Apple

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados o probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o productos de otros fabricantes. Apple no ofrece ninguna representación con relación a la precisión o fiabilidad de los sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Comunícate con el proveedor para obtener información adicional. Otros nombres de compañías y productos mencionados pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: