Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.
Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta "Cómo utilizar la clave PGP de seguridad de los productos de Apple".
Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.
Para obtener más información acerca de otras actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".
Safari 6.0
-
Safari
Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: Visitar un sitio web creado con fines malintencionados podría provocar un ataque basado en la vulnerabilidad de secuencias de comandos en sitios cruzados
Descripción: Existía un problema en la secuencias de comandos entre sitios cruzados en la gestión de direcciones URL feed://. Esta actualización elimina la gestión de direcciones URL feed://.
ID CVE
CVE-2012-0678: Masato Kinugawa
-
Safari
Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: Visitar un sitio web creado con fines malintencionados podría provocar que se envíen archivos del equipo del usuario a un servidor remoto
Descripción: Existía un problema de control de acceso en la gestión de direcciones URL feed://. Esta actualización elimina la gestión de direcciones URL feed://.
ID CVE
CVE-2012-0679: Aaron Sigel de vtty.com
-
Safari
Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: Es posible que las contraseñas se rellenen automáticamente incluso cuando el sitio especifica que el autorrelleno debe estar desactivado
Descripción: Los elementos de entrada de contraseñas con el atributo de autorrelleno desactivado se autorrellenaban. Esta actualización soluciona el problema mejorando la gestión del atributo de autorrelleno.
ID CVE
CVE-2012-0680: Dan Poltawski de Moodle
-
Descargas de Safari
Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: Abrir archivos creados con fines malintencionados en determinados sitios web podría provocar un ataque basado en la vulnerabilidad de secuencias de comandos en sitios cruzados
Descripción: Existía un problema de compatibilidad de Safari con el valor "attachment" de la cabecera HTTP Content-Disposition. Muchos sitios web utilizan esta cabecera para ofrecer archivos cargados en el sitio por terceros, como por ejemplo adjuntos en aplicaciones web de correo electrónico. Cualquier script en los archivos ofrecidos con este valor de cabecera podría ejecutarse si el archivo se hubiera ofrecido en línea, con total acceso a los demás recursos en el servidor de origen. Este problema se ha solucionado descargando los recursos ofrecidos con esta cabecera en lugar de mostrarlos en línea.
ID CVE
CVE-2011-3426: Mickey Shkatov de laplinker.com, Kyle Osborn, Hidetake Jo DE Microsoft y Microsoft Vulnerability Research (MSVR)
-
WebKit
Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existían varios problemas de corrupción de memoria en WebKit. Estos problemas se han solucionado mejorando la gestión de la memoria.
ID CVE
CVE-2011-3016: miaubiz
CVE-2011-3021: Arthur Gerkis
CVE-2011-3027: miaubiz
CVE-2011-3032: Arthur Gerkis
CVE-2011-3034: Arthur Gerkis
CVE-2011-3035: wushi de team509 en colaboración con iDefense VCP, Arthur Gerkis
CVE-2011-3036: miaubiz
CVE-2011-3037: miaubiz
CVE-2011-3038: miaubiz
CVE-2011-3039: miaubiz
CVE-2011-3040: miaubiz
CVE-2011-3041: miaubiz
CVE-2011-3042: miaubiz
CVE-2011-3043: miaubiz
CVE-2011-3044: Arthur Gerkis
CVE-2011-3050: miaubiz
CVE-2011-3053: miaubiz
CVE-2011-3059: Arthur Gerkis
CVE-2011-3060: miaubiz
CVE-2011-3064: Atte Kettunen de OUSPG
CVE-2011-3068: miaubiz
CVE-2011-3069: miaubiz
CVE-2011-3071: pa_kt en colaboración con la Zero Day Initiative de HP
CVE-2011-3073: Arthur Gerkis
CVE-2011-3074: Slawomir Blazek
CVE-2011-3075: miaubiz
CVE-2011-3076: miaubiz
CVE-2011-3078: Martin Barbella de Google Chrome Security Team
CVE-2011-3081: miaubiz
CVE-2011-3086: Arthur Gerkis
CVE-2011-3089: Skylined de Google Chrome Security Team, miaubiz
CVE-2011-3090: Arthur Gerkis
CVE-2011-3913: Arthur Gerkis
CVE-2011-3924: Arthur Gerkis
CVE-2011-3926: Arthur Gerkis
CVE-2011-3958: miaubiz
CVE-2011-3966: Aki Helin de OUSPG
CVE-2011-3968: Arthur Gerkis
CVE-2011-3969: Arthur Gerkis
CVE-2011-3971: Arthur Gerkis
CVE-2012-0682: Apple Product Security
CVE-2012-0683: Dave Mandelin, de Mozilla
CVE-2012-1520: Martin Barbella de Google Chrome Security Team usando AddressSanitizer, José A. Vázquez de spa-s3c.blogspot.com en colaboración con iDefense VCP
CVE-2012-1521: Skylined de Google Chrome Security Team, José A. Vázquez de spa-s3c.blogspot.com en colaboración con iDefense VCP
CVE-2012-3589: Dave Mandelin, de Mozilla
CVE-2012-3590: Apple Product Security
CVE-2012-3591: Apple Product Security
CVE-2012-3592: Apple Product Security
CVE-2012-3593: Apple Product Security
CVE-2012-3594: miaubiz
CVE-2012-3595: Martin Barbella de Google Chrome Security
CVE-2012-3596: Skylined de Google Chrome Security Team
CVE-2012-3597: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer
CVE-2012-3599: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer
CVE-2012-3600: David Levin de la comunidad de desarrollo Chromium
CVE-2012-3603: Apple Product Security
CVE-2012-3604: Skylined de Google Chrome Security Team
CVE-2012-3605: Cris Neckar de Google Chrome Security Team
CVE-2012-3608: Skylined de Google Chrome Security Team
CVE-2012-3609: Skylined de Google Chrome Security Team
CVE-2012-3610: Skylined de Google Chrome Security Team
CVE-2012-3611: Apple Product Security
CVE-2012-3615: Stephen Chenney de la comunidad de desarrollo Chromium
CVE-2012-3618: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer
CVE-2012-3620: Abhishek Arya de Google Chrome Security Team
CVE-2012-3625: Skylined de Google Chrome Security Team
CVE-2012-3626: Apple Product Security
CVE-2012-3627: Skylined y Abhishek Arya de Google Chrome Security Team
CVE-2012-3628: Apple Product Security
CVE-2012-3629: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer
CVE-2012-3630: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer
CVE-2012-3631: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer
CVE-2012-3633: Martin Barbella de Google Chrome Security Team usando AddressSanitizer
CVE-2012-3634: Martin Barbella de Google Chrome Security Team usando AddressSanitizer
CVE-2012-3635: Martin Barbella de Google Chrome Security Team usando AddressSanitizer
CVE-2012-3636: Martin Barbella de Google Chrome Security Team usando AddressSanitizer
CVE-2012-3637: Martin Barbella de Google Chrome Security Team usando AddressSanitizer
CVE-2012-3638: Martin Barbella de Google Chrome Security Team usando AddressSanitizer
CVE-2012-3639: Martin Barbella de Google Chrome Security Team usando AddressSanitizer
CVE-2012-3640: miaubiz
CVE-2012-3641: Slawomir Blazek
CVE-2012-3642: miaubiz
CVE-2012-3644: miaubiz
CVE-2012-3645: Martin Barbella de Google Chrome Security Team usando AddressSanitizer
CVE-2012-3646: Julien Chaffraix de la comunidad de desarrollo Chromium, Martin Barbella de Google Chrome Security Team usando AddressSanitizer
CVE-2012-3653: Martin Barbella de Google Chrome Security Team usando AddressSanitizer
CVE-2012-3655: Skylined de Google Chrome Security Team
CVE-2012-3656: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer
CVE-2012-3661: Apple Product Security
CVE-2012-3663: Skylined de Google Chrome Security Team
CVE-2012-3664: Thomas Sepez de la comunidad de desarrollo Chromium
CVE-2012-3665: Martin Barbella de Google Chrome Security Team usando AddressSanitizer
CVE-2012-3666: Apple
CVE-2012-3667: Trevor Squires de propaneapp.com
CVE-2012-3668: Apple Product Security
CVE-2012-3669: Apple Product Security
CVE-2012-3670: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer, Arthur Gerkis
CVE-2012-3674: Skylined de Google Chrome Security Team
CVE-2012-3678: Apple Product Security
CVE-2012-3679: Chris Leary, de Mozilla
CVE-2012-3680: Skylined de Google Chrome Security Team
CVE-2012-3681: Apple
CVE-2012-3682: Adam Barth de Google Chrome Security Team
CVE-2012-3683: wushi de team509 en colaboración con iDefense VCP
CVE-2012-3686: Robin Cao de Torch Mobile (Pekín)
-
WebKit
Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: La función de arrastrar y soltar texto seleccionado en una página web podría provocar la revelación de información entre sitios
Descripción: Existía un problema de múltiples orígenes en la gestión de los eventos de arrastrar y soltar. Este problema se ha solucionado con un seguimiento de orígenes mejorado.
ID CVE
CVE-2012-3689: David Bloom de Cue
-
WebKit
Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: La función de arrastrar y soltar texto seleccionado en una página web podría provocar que archivos en el equipo del usuario se envíen a un servidor remoto
Descripción: Existía un problema de control de acceso en la gestión de los eventos de arrastrar y soltar. Este problema se ha solucionado con un seguimiento de orígenes mejorado.
ID CVE
CVE-2012-3690: David Bloom de Cue
-
WebKit
Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: Visitar un sitio web creado con fines malintencionados podría provocar la divulgación de información entre sitios
Descripción: Existía un problema de orígenes cruzados en la gestión de valores de propiedad de CSS. Este problema se ha solucionado con un seguimiento de orígenes mejorado.
ID CVE
CVE-2012-3691: Apple
-
WebKit
Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: Un sitio web creado con fines malintencionados podría sustituir el contenido de un iframe en otro sitio
Descripción: Existía un problema de múltiples orígenes en la gestión de iframes en ventanas emergentes. Este problema se ha solucionado con un seguimiento de orígenes mejorado.
ID CVE
CVE-2011-3067: Sergey Glazunov
-
WebKit
Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: Visitar un sitio web creado con fines malintencionados podría provocar la divulgación de información entre sitios
Descripción: Existía un problema de múltiples orígenes en la gestión de iframes y los identificadores de fragmentos. Este problema se ha solucionado con un seguimiento de orígenes mejorado.
ID CVE
CVE-2012-2815: Elie Bursztein, Baptiste Gourdin, Gustav Rydstedt y Dan Boneh del laboratorio de seguridad de la Universidad de Stanford
-
WebKit
Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: Caracteres "parecidos" en una URL podrían utilizarse para enmascarar un sitio web
Descripción: El soporte del International Domain Name (IDN) y los tipos de letra Unicode integrados en Safari podrían haberse utilizado para crear una URL con caracteres "parecidos". Estos caracteres podrían haberse empleado en un sitio web malintencionado para conducir al usuario a un sitio falso que, visualmente, pareciera ser un dominio legítimo. Este problema se ha solucionado complementando la lista de WebKit de caracteres "parecidos". Los caracteres parecidos se muestran en Punycode en la barra de direcciones.
ID CVE
CVE-2012-3693: Matt Cooley de Symantec
-
WebKit
Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: La función de arrastrar y soltar un archivo en Safari podría revelar la ruta del sistema de archivos del archivo en el sitio web
Descripción: Existía un problema de divulgación de información en la gestión de archivos que han sido arrastrados. Este problema se ha solucionado mediante la gestión mejorada de los archivos arrastrados.
ID CVE
CVE-2012-3694: Daniel Cheng de Google, Aaron Sigel de vtty.com
-
WebKit
Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: Visitar un sitio web creado con fines malintencionados podría provocar un ataque basado en la vulnerabilidad de secuencias de comandos en sitios cruzados
Descripción: Existía un problema de canonicalización en la gestión de direcciones URL. Esto podría haber dado lugar a secuencias de comandos entre sitios cruzados que utilizaban la propiedad location.href. Este problema se ha solucionado mediante la mejora de la canonicalización de las URL.
ID CVE
CVE-2012-3695: Masato Kinugawa
-
WebKit
Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: Visitar un sitio web creado con fines malintencionados podría provocar la división de solicitudes HTTP
Descripción: Existía un problema de inyección de encabezados HTTP en la gestión de WebSockets. Este problema se ha solucionado mejorando el saneamiento de la URI de WebSockets.
ID CVE
CVE-2012-3696: David Belcher de BlackBerry Security Incident Response Team
-
WebKit
Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: Un sitio web creado con fines malintencionados podría suplantar el valor de la barra de dirección URL
Descripción: Existía un problema de administración de estados en la gestión del historial de sesión. Navegar a una parte de la página actual podría provocar que Safari mostrase información incorrecta en la barra de dirección URL. Este problema se ha solucionado mediante el seguimiento mejorado del estado de la sesión.
ID CVE
CVE-2011-2845: Jordi Chancel
-
WebKit
Disponible para: OS X Lion v10.7.4, Lion Server v10.7.4
Impacto: Un atacante podría escapar de la zona protegida y acceder a cualquier archivo al que el usuario actual tenga acceso
Descripción: Existía un problema de control de acceso en la gestión de direcciones URL de archivos. Un atacante que obtuviera la capacidad de ejecutar código arbitrario en un WebProcess de Safari podría eludir la zona protegida y acceder a cualquier archivo al que tuviera acceso el usuario que estuviera ejecutando Safari. Este problema se ha solucionado mejorando la gestión de las URL.
ID CVE
CVE-2012-3697: Aaron Sigel de vtty.com
-
WebKit
Disponible para: OS X Lion v10.7.4, Lion Server v10.7.4
Impacto: Visitar un sitio web creado con fines malintencionados podría provocar la divulgación de los contenidos de la memoria
Descripción: Existía un problema de acceso a la memoria no inicializada en la gestión de imágenes SVG. Este problema se ha solucionado mejorando la inicialización de la memoria.
ID CVE
CVE-2012-3650: Apple