Acerca del contenido de seguridad de Safari 6

Este documento describe el contenido de seguridad de Safari 6.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta "Cómo utilizar la clave PGP de seguridad de los productos de Apple".

Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".

Safari 6.0

  • Safari

    Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar un ataque basado en la vulnerabilidad de secuencias de comandos en sitios cruzados

    Descripción: Existía un problema en la secuencias de comandos entre sitios cruzados en la gestión de direcciones URL feed://. Esta actualización elimina la gestión de direcciones URL feed://.

    ID CVE

    CVE-2012-0678: Masato Kinugawa

  • Safari

    Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar que se envíen archivos del equipo del usuario a un servidor remoto

    Descripción: Existía un problema de control de acceso en la gestión de direcciones URL feed://. Esta actualización elimina la gestión de direcciones URL feed://.

    ID CVE

    CVE-2012-0679: Aaron Sigel de vtty.com

  • Safari

    Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: Es posible que las contraseñas se rellenen automáticamente incluso cuando el sitio especifica que el autorrelleno debe estar desactivado

    Descripción: Los elementos de entrada de contraseñas con el atributo de autorrelleno desactivado se autorrellenaban. Esta actualización soluciona el problema mejorando la gestión del atributo de autorrelleno.

    ID CVE

    CVE-2012-0680: Dan Poltawski de Moodle

  • Descargas de Safari

    Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: Abrir archivos creados con fines malintencionados en determinados sitios web podría provocar un ataque basado en la vulnerabilidad de secuencias de comandos en sitios cruzados

    Descripción: Existía un problema de compatibilidad de Safari con el valor "attachment" de la cabecera HTTP Content-Disposition. Muchos sitios web utilizan esta cabecera para ofrecer archivos cargados en el sitio por terceros, como por ejemplo adjuntos en aplicaciones web de correo electrónico. Cualquier script en los archivos ofrecidos con este valor de cabecera podría ejecutarse si el archivo se hubiera ofrecido en línea, con total acceso a los demás recursos en el servidor de origen. Este problema se ha solucionado descargando los recursos ofrecidos con esta cabecera en lugar de mostrarlos en línea.

    ID CVE

    CVE-2011-3426: Mickey Shkatov de laplinker.com, Kyle Osborn, Hidetake Jo DE Microsoft y Microsoft Vulnerability Research (MSVR)

  • WebKit

    Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existían varios problemas de corrupción de memoria en WebKit. Estos problemas se han solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2011-3016: miaubiz

    CVE-2011-3021: Arthur Gerkis

    CVE-2011-3027: miaubiz

    CVE-2011-3032: Arthur Gerkis

    CVE-2011-3034: Arthur Gerkis

    CVE-2011-3035: wushi de team509 en colaboración con iDefense VCP, Arthur Gerkis

    CVE-2011-3036: miaubiz

    CVE-2011-3037: miaubiz

    CVE-2011-3038: miaubiz

    CVE-2011-3039: miaubiz

    CVE-2011-3040: miaubiz

    CVE-2011-3041: miaubiz

    CVE-2011-3042: miaubiz

    CVE-2011-3043: miaubiz

    CVE-2011-3044: Arthur Gerkis

    CVE-2011-3050: miaubiz

    CVE-2011-3053: miaubiz

    CVE-2011-3059: Arthur Gerkis

    CVE-2011-3060: miaubiz

    CVE-2011-3064: Atte Kettunen de OUSPG

    CVE-2011-3068: miaubiz

    CVE-2011-3069: miaubiz

    CVE-2011-3071: pa_kt en colaboración con la Zero Day Initiative de HP

    CVE-2011-3073: Arthur Gerkis

    CVE-2011-3074: Slawomir Blazek

    CVE-2011-3075: miaubiz

    CVE-2011-3076: miaubiz

    CVE-2011-3078: Martin Barbella de Google Chrome Security Team

    CVE-2011-3081: miaubiz

    CVE-2011-3086: Arthur Gerkis

    CVE-2011-3089: Skylined de Google Chrome Security Team, miaubiz

    CVE-2011-3090: Arthur Gerkis

    CVE-2011-3913: Arthur Gerkis

    CVE-2011-3924: Arthur Gerkis

    CVE-2011-3926: Arthur Gerkis

    CVE-2011-3958: miaubiz

    CVE-2011-3966: Aki Helin de OUSPG

    CVE-2011-3968: Arthur Gerkis

    CVE-2011-3969: Arthur Gerkis

    CVE-2011-3971: Arthur Gerkis

    CVE-2012-0682: Apple Product Security

    CVE-2012-0683: Dave Mandelin, de Mozilla

    CVE-2012-1520: Martin Barbella de Google Chrome Security Team usando AddressSanitizer, José A. Vázquez de spa-s3c.blogspot.com en colaboración con iDefense VCP

    CVE-2012-1521: Skylined de Google Chrome Security Team, José A. Vázquez de spa-s3c.blogspot.com en colaboración con iDefense VCP

    CVE-2012-3589: Dave Mandelin, de Mozilla

    CVE-2012-3590: Apple Product Security

    CVE-2012-3591: Apple Product Security

    CVE-2012-3592: Apple Product Security

    CVE-2012-3593: Apple Product Security

    CVE-2012-3594: miaubiz

    CVE-2012-3595: Martin Barbella de Google Chrome Security

    CVE-2012-3596: Skylined de Google Chrome Security Team

    CVE-2012-3597: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer

    CVE-2012-3599: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer

    CVE-2012-3600: David Levin de la comunidad de desarrollo Chromium

    CVE-2012-3603: Apple Product Security

    CVE-2012-3604: Skylined de Google Chrome Security Team

    CVE-2012-3605: Cris Neckar de Google Chrome Security Team

    CVE-2012-3608: Skylined de Google Chrome Security Team

    CVE-2012-3609: Skylined de Google Chrome Security Team

    CVE-2012-3610: Skylined de Google Chrome Security Team

    CVE-2012-3611: Apple Product Security

    CVE-2012-3615: Stephen Chenney de la comunidad de desarrollo Chromium

    CVE-2012-3618: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer

    CVE-2012-3620: Abhishek Arya de Google Chrome Security Team

    CVE-2012-3625: Skylined de Google Chrome Security Team

    CVE-2012-3626: Apple Product Security

    CVE-2012-3627: Skylined y Abhishek Arya de Google Chrome Security Team

    CVE-2012-3628: Apple Product Security

    CVE-2012-3629: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer

    CVE-2012-3630: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer

    CVE-2012-3631: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer

    CVE-2012-3633: Martin Barbella de Google Chrome Security Team usando AddressSanitizer

    CVE-2012-3634: Martin Barbella de Google Chrome Security Team usando AddressSanitizer

    CVE-2012-3635: Martin Barbella de Google Chrome Security Team usando AddressSanitizer

    CVE-2012-3636: Martin Barbella de Google Chrome Security Team usando AddressSanitizer

    CVE-2012-3637: Martin Barbella de Google Chrome Security Team usando AddressSanitizer

    CVE-2012-3638: Martin Barbella de Google Chrome Security Team usando AddressSanitizer

    CVE-2012-3639: Martin Barbella de Google Chrome Security Team usando AddressSanitizer

    CVE-2012-3640: miaubiz

    CVE-2012-3641: Slawomir Blazek

    CVE-2012-3642: miaubiz

    CVE-2012-3644: miaubiz

    CVE-2012-3645: Martin Barbella de Google Chrome Security Team usando AddressSanitizer

    CVE-2012-3646: Julien Chaffraix de la comunidad de desarrollo Chromium, Martin Barbella de Google Chrome Security Team usando AddressSanitizer

    CVE-2012-3653: Martin Barbella de Google Chrome Security Team usando AddressSanitizer

    CVE-2012-3655: Skylined de Google Chrome Security Team

    CVE-2012-3656: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer

    CVE-2012-3661: Apple Product Security

    CVE-2012-3663: Skylined de Google Chrome Security Team

    CVE-2012-3664: Thomas Sepez de la comunidad de desarrollo Chromium

    CVE-2012-3665: Martin Barbella de Google Chrome Security Team usando AddressSanitizer

    CVE-2012-3666: Apple

    CVE-2012-3667: Trevor Squires de propaneapp.com

    CVE-2012-3668: Apple Product Security

    CVE-2012-3669: Apple Product Security

    CVE-2012-3670: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer, Arthur Gerkis

    CVE-2012-3674: Skylined de Google Chrome Security Team

    CVE-2012-3678: Apple Product Security

    CVE-2012-3679: Chris Leary, de Mozilla

    CVE-2012-3680: Skylined de Google Chrome Security Team

    CVE-2012-3681: Apple

    CVE-2012-3682: Adam Barth de Google Chrome Security Team

    CVE-2012-3683: wushi de team509 en colaboración con iDefense VCP

    CVE-2012-3686: Robin Cao de Torch Mobile (Pekín)

  • WebKit

    Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: La función de arrastrar y soltar texto seleccionado en una página web podría provocar la revelación de información entre sitios

    Descripción: Existía un problema de múltiples orígenes en la gestión de los eventos de arrastrar y soltar. Este problema se ha solucionado con un seguimiento de orígenes mejorado.

    ID CVE

    CVE-2012-3689: David Bloom de Cue

  • WebKit

    Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: La función de arrastrar y soltar texto seleccionado en una página web podría provocar que archivos en el equipo del usuario se envíen a un servidor remoto

    Descripción: Existía un problema de control de acceso en la gestión de los eventos de arrastrar y soltar. Este problema se ha solucionado con un seguimiento de orígenes mejorado.

    ID CVE

    CVE-2012-3690: David Bloom de Cue

  • WebKit

    Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar la divulgación de información entre sitios

    Descripción: Existía un problema de orígenes cruzados en la gestión de valores de propiedad de CSS. Este problema se ha solucionado con un seguimiento de orígenes mejorado.

    ID CVE

    CVE-2012-3691: Apple

  • WebKit

    Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: Un sitio web creado con fines malintencionados podría sustituir el contenido de un iframe en otro sitio

    Descripción: Existía un problema de múltiples orígenes en la gestión de iframes en ventanas emergentes. Este problema se ha solucionado con un seguimiento de orígenes mejorado.

    ID CVE

    CVE-2011-3067: Sergey Glazunov

  • WebKit

    Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar la divulgación de información entre sitios

    Descripción: Existía un problema de múltiples orígenes en la gestión de iframes y los identificadores de fragmentos. Este problema se ha solucionado con un seguimiento de orígenes mejorado.

    ID CVE

    CVE-2012-2815: Elie Bursztein, Baptiste Gourdin, Gustav Rydstedt y Dan Boneh del laboratorio de seguridad de la Universidad de Stanford

  • WebKit

    Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: Caracteres "parecidos" en una URL podrían utilizarse para enmascarar un sitio web

    Descripción: El soporte del International Domain Name (IDN) y los tipos de letra Unicode integrados en Safari podrían haberse utilizado para crear una URL con caracteres "parecidos". Estos caracteres podrían haberse empleado en un sitio web malintencionado para conducir al usuario a un sitio falso que, visualmente, pareciera ser un dominio legítimo. Este problema se ha solucionado complementando la lista de WebKit de caracteres "parecidos". Los caracteres parecidos se muestran en Punycode en la barra de direcciones.

    ID CVE

    CVE-2012-3693: Matt Cooley de Symantec

  • WebKit

    Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: La función de arrastrar y soltar un archivo en Safari podría revelar la ruta del sistema de archivos del archivo en el sitio web

    Descripción: Existía un problema de divulgación de información en la gestión de archivos que han sido arrastrados. Este problema se ha solucionado mediante la gestión mejorada de los archivos arrastrados.

    ID CVE

    CVE-2012-3694: Daniel Cheng de Google, Aaron Sigel de vtty.com

  • WebKit

    Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar un ataque basado en la vulnerabilidad de secuencias de comandos en sitios cruzados

    Descripción: Existía un problema de canonicalización en la gestión de direcciones URL. Esto podría haber dado lugar a secuencias de comandos entre sitios cruzados que utilizaban la propiedad location.href. Este problema se ha solucionado mediante la mejora de la canonicalización de las URL.

    ID CVE

    CVE-2012-3695: Masato Kinugawa

  • WebKit

    Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar la división de solicitudes HTTP

    Descripción: Existía un problema de inyección de encabezados HTTP en la gestión de WebSockets. Este problema se ha solucionado mejorando el saneamiento de la URI de WebSockets.

    ID CVE

    CVE-2012-3696: David Belcher de BlackBerry Security Incident Response Team

  • WebKit

    Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impacto: Un sitio web creado con fines malintencionados podría suplantar el valor de la barra de dirección URL

    Descripción: Existía un problema de administración de estados en la gestión del historial de sesión. Navegar a una parte de la página actual podría provocar que Safari mostrase información incorrecta en la barra de dirección URL. Este problema se ha solucionado mediante el seguimiento mejorado del estado de la sesión.

    ID CVE

    CVE-2011-2845: Jordi Chancel

  • WebKit

    Disponible para: OS X Lion v10.7.4, Lion Server v10.7.4

    Impacto: Un atacante podría escapar de la zona protegida y acceder a cualquier archivo al que el usuario actual tenga acceso

    Descripción: Existía un problema de control de acceso en la gestión de direcciones URL de archivos. Un atacante que obtuviera la capacidad de ejecutar código arbitrario en un WebProcess de Safari podría eludir la zona protegida y acceder a cualquier archivo al que tuviera acceso el usuario que estuviera ejecutando Safari. Este problema se ha solucionado mejorando la gestión de las URL.

    ID CVE

    CVE-2012-3697: Aaron Sigel de vtty.com

  • WebKit

    Disponible para: OS X Lion v10.7.4, Lion Server v10.7.4

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar la divulgación de los contenidos de la memoria

    Descripción: Existía un problema de acceso a la memoria no inicializada en la gestión de imágenes SVG. Este problema se ha solucionado mejorando la inicialización de la memoria.

    ID CVE

    CVE-2012-3650: Apple

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se proporciona sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, rendimiento o uso de sitios web o productos de terceros. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Ponte en contacto con el proveedor para obtener información adicional. Otros nombres de empresas o productos pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: