Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.
Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta "Cómo utilizar la clave PGP de seguridad de los productos de Apple".
Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.
Para obtener más información acerca de otras actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".
Safari 6.0
- 

- 

Safari

Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

Impacto: Visitar un sitio web creado con fines malintencionados podría provocar un ataque basado en la vulnerabilidad de secuencias de comandos en sitios cruzados

Descripción: Existía un problema en la secuencias de comandos entre sitios cruzados en la gestión de direcciones URL feed://. Esta actualización elimina la gestión de direcciones URL feed://.

ID CVE

CVE-2012-0678: Masato Kinugawa

 

- 

- 

Safari

Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

Impacto: Visitar un sitio web creado con fines malintencionados podría provocar que se envíen archivos del equipo del usuario a un servidor remoto

Descripción: Existía un problema de control de acceso en la gestión de direcciones URL feed://. Esta actualización elimina la gestión de direcciones URL feed://.

ID CVE

CVE-2012-0679: Aaron Sigel de vtty.com

 

- 

- 

Safari

Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

Impacto: Es posible que las contraseñas se rellenen automáticamente incluso cuando el sitio especifica que el autorrelleno debe estar desactivado

Descripción: Los elementos de entrada de contraseñas con el atributo de autorrelleno desactivado se autorrellenaban. Esta actualización soluciona el problema mejorando la gestión del atributo de autorrelleno.

ID CVE

CVE-2012-0680: Dan Poltawski de Moodle

 

- 

- 

Descargas de Safari

Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

Impacto: Abrir archivos creados con fines malintencionados en determinados sitios web podría provocar un ataque basado en la vulnerabilidad de secuencias de comandos en sitios cruzados

Descripción: Existía un problema de compatibilidad de Safari con el valor "attachment" de la cabecera HTTP Content-Disposition. Muchos sitios web utilizan esta cabecera para ofrecer archivos cargados en el sitio por terceros, como por ejemplo adjuntos en aplicaciones web de correo electrónico. Cualquier script en los archivos ofrecidos con este valor de cabecera podría ejecutarse si el archivo se hubiera ofrecido en línea, con total acceso a los demás recursos en el servidor de origen. Este problema se ha solucionado descargando los recursos ofrecidos con esta cabecera en lugar de mostrarlos en línea.

ID CVE

CVE-2011-3426: Mickey Shkatov de laplinker.com, Kyle Osborn, Hidetake Jo DE Microsoft y Microsoft Vulnerability Research (MSVR)

 

- 

- 

WebKit

Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

Impacto: Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: Existían varios problemas de corrupción de memoria en WebKit. Estos problemas se han solucionado mejorando la gestión de la memoria.

ID CVE

CVE-2011-3016: miaubiz

CVE-2011-3021: Arthur Gerkis

CVE-2011-3027: miaubiz

CVE-2011-3032: Arthur Gerkis

CVE-2011-3034: Arthur Gerkis

CVE-2011-3035: wushi de team509 en colaboración con iDefense VCP, Arthur Gerkis

CVE-2011-3036: miaubiz

CVE-2011-3037: miaubiz

CVE-2011-3038: miaubiz

CVE-2011-3039: miaubiz

CVE-2011-3040: miaubiz

CVE-2011-3041: miaubiz

CVE-2011-3042: miaubiz

CVE-2011-3043: miaubiz

CVE-2011-3044: Arthur Gerkis

CVE-2011-3050: miaubiz

CVE-2011-3053: miaubiz

CVE-2011-3059: Arthur Gerkis

CVE-2011-3060: miaubiz

CVE-2011-3064: Atte Kettunen de OUSPG

CVE-2011-3068: miaubiz

CVE-2011-3069: miaubiz

CVE-2011-3071: pa_kt en colaboración con la Zero Day Initiative de HP

CVE-2011-3073: Arthur Gerkis

CVE-2011-3074: Slawomir Blazek

CVE-2011-3075: miaubiz

CVE-2011-3076: miaubiz

CVE-2011-3078: Martin Barbella de Google Chrome Security Team

CVE-2011-3081: miaubiz

CVE-2011-3086: Arthur Gerkis

CVE-2011-3089: Skylined de Google Chrome Security Team, miaubiz

CVE-2011-3090: Arthur Gerkis

CVE-2011-3913: Arthur Gerkis

CVE-2011-3924: Arthur Gerkis

CVE-2011-3926: Arthur Gerkis

CVE-2011-3958: miaubiz

CVE-2011-3966: Aki Helin de OUSPG

CVE-2011-3968: Arthur Gerkis

CVE-2011-3969: Arthur Gerkis

CVE-2011-3971: Arthur Gerkis

CVE-2012-0682: Apple Product Security

CVE-2012-0683: Dave Mandelin, de Mozilla

CVE-2012-1520: Martin Barbella de Google Chrome Security Team usando AddressSanitizer, José A. Vázquez de spa-s3c.blogspot.com en colaboración con iDefense VCP

CVE-2012-1521: Skylined de Google Chrome Security Team, José A. Vázquez de spa-s3c.blogspot.com en colaboración con iDefense VCP

CVE-2012-3589: Dave Mandelin, de Mozilla

CVE-2012-3590: Apple Product Security

CVE-2012-3591: Apple Product Security

CVE-2012-3592: Apple Product Security

CVE-2012-3593: Apple Product Security

CVE-2012-3594: miaubiz

CVE-2012-3595: Martin Barbella de Google Chrome Security

CVE-2012-3596: Skylined de Google Chrome Security Team

CVE-2012-3597: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer

CVE-2012-3599: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer

CVE-2012-3600: David Levin de la comunidad de desarrollo Chromium

CVE-2012-3603: Apple Product Security

CVE-2012-3604: Skylined de Google Chrome Security Team

CVE-2012-3605: Cris Neckar de Google Chrome Security Team

CVE-2012-3608: Skylined de Google Chrome Security Team

CVE-2012-3609: Skylined de Google Chrome Security Team

CVE-2012-3610: Skylined de Google Chrome Security Team

CVE-2012-3611: Apple Product Security

CVE-2012-3615: Stephen Chenney de la comunidad de desarrollo Chromium

CVE-2012-3618: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer

CVE-2012-3620: Abhishek Arya de Google Chrome Security Team

CVE-2012-3625: Skylined de Google Chrome Security Team

CVE-2012-3626: Apple Product Security

CVE-2012-3627: Skylined y Abhishek Arya de Google Chrome Security Team

CVE-2012-3628: Apple Product Security

CVE-2012-3629: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer

CVE-2012-3630: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer

CVE-2012-3631: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer

CVE-2012-3633: Martin Barbella de Google Chrome Security Team usando AddressSanitizer

CVE-2012-3634: Martin Barbella de Google Chrome Security Team usando AddressSanitizer

CVE-2012-3635: Martin Barbella de Google Chrome Security Team usando AddressSanitizer

CVE-2012-3636: Martin Barbella de Google Chrome Security Team usando AddressSanitizer

CVE-2012-3637: Martin Barbella de Google Chrome Security Team usando AddressSanitizer

CVE-2012-3638: Martin Barbella de Google Chrome Security Team usando AddressSanitizer

CVE-2012-3639: Martin Barbella de Google Chrome Security Team usando AddressSanitizer

CVE-2012-3640: miaubiz

CVE-2012-3641: Slawomir Blazek

CVE-2012-3642: miaubiz

CVE-2012-3644: miaubiz

CVE-2012-3645: Martin Barbella de Google Chrome Security Team usando AddressSanitizer

CVE-2012-3646: Julien Chaffraix de la comunidad de desarrollo Chromium, Martin Barbella de Google Chrome Security Team usando AddressSanitizer

CVE-2012-3653: Martin Barbella de Google Chrome Security Team usando AddressSanitizer

CVE-2012-3655: Skylined de Google Chrome Security Team

CVE-2012-3656: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer

CVE-2012-3661: Apple Product Security

CVE-2012-3663: Skylined de Google Chrome Security Team

CVE-2012-3664: Thomas Sepez de la comunidad de desarrollo Chromium

CVE-2012-3665: Martin Barbella de Google Chrome Security Team usando AddressSanitizer

CVE-2012-3666: Apple

CVE-2012-3667: Trevor Squires de propaneapp.com

CVE-2012-3668: Apple Product Security

CVE-2012-3669: Apple Product Security

CVE-2012-3670: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer, Arthur Gerkis

CVE-2012-3674: Skylined de Google Chrome Security Team

CVE-2012-3678: Apple Product Security

CVE-2012-3679: Chris Leary, de Mozilla

CVE-2012-3680: Skylined de Google Chrome Security Team

CVE-2012-3681: Apple

CVE-2012-3682: Adam Barth de Google Chrome Security Team

CVE-2012-3683: wushi de team509 en colaboración con iDefense VCP

CVE-2012-3686: Robin Cao de Torch Mobile (Pekín)

 

- 

- 

WebKit

Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

Impacto: La función de arrastrar y soltar texto seleccionado en una página web podría provocar la revelación de información entre sitios

Descripción: Existía un problema de múltiples orígenes en la gestión de los eventos de arrastrar y soltar. Este problema se ha solucionado con un seguimiento de orígenes mejorado.

ID CVE

CVE-2012-3689: David Bloom de Cue

 

- 

- 

WebKit

Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

Impacto: La función de arrastrar y soltar texto seleccionado en una página web podría provocar que archivos en el equipo del usuario se envíen a un servidor remoto

Descripción: Existía un problema de control de acceso en la gestión de los eventos de arrastrar y soltar. Este problema se ha solucionado con un seguimiento de orígenes mejorado.

ID CVE

CVE-2012-3690: David Bloom de Cue

 

- 

- 

WebKit

Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

Impacto: Visitar un sitio web creado con fines malintencionados podría provocar la divulgación de información entre sitios

Descripción: Existía un problema de orígenes cruzados en la gestión de valores de propiedad de CSS. Este problema se ha solucionado con un seguimiento de orígenes mejorado.

ID CVE

CVE-2012-3691: Apple

 

- 

- 

WebKit

Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

Impacto: Un sitio web creado con fines malintencionados podría sustituir el contenido de un iframe en otro sitio

Descripción: Existía un problema de múltiples orígenes en la gestión de iframes en ventanas emergentes. Este problema se ha solucionado con un seguimiento de orígenes mejorado.

ID CVE

CVE-2011-3067: Sergey Glazunov

 

- 

- 

WebKit

Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

Impacto: Visitar un sitio web creado con fines malintencionados podría provocar la divulgación de información entre sitios

Descripción: Existía un problema de múltiples orígenes en la gestión de iframes y los identificadores de fragmentos. Este problema se ha solucionado con un seguimiento de orígenes mejorado.

ID CVE

CVE-2012-2815: Elie Bursztein, Baptiste Gourdin, Gustav Rydstedt y Dan Boneh del laboratorio de seguridad de la Universidad de Stanford

 

- 

- 

WebKit

Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

Impacto: Caracteres "parecidos" en una URL podrían utilizarse para enmascarar un sitio web

Descripción: El soporte del International Domain Name (IDN) y los tipos de letra Unicode integrados en Safari podrían haberse utilizado para crear una URL con caracteres "parecidos". Estos caracteres podrían haberse empleado en un sitio web malintencionado para conducir al usuario a un sitio falso que, visualmente, pareciera ser un dominio legítimo. Este problema se ha solucionado complementando la lista de WebKit de caracteres "parecidos". Los caracteres parecidos se muestran en Punycode en la barra de direcciones.

ID CVE

CVE-2012-3693: Matt Cooley de Symantec

 

- 

- 

WebKit

Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

Impacto: La función de arrastrar y soltar un archivo en Safari podría revelar la ruta del sistema de archivos del archivo en el sitio web

Descripción: Existía un problema de divulgación de información en la gestión de archivos que han sido arrastrados. Este problema se ha solucionado mediante la gestión mejorada de los archivos arrastrados.

ID CVE

CVE-2012-3694: Daniel Cheng de Google, Aaron Sigel de vtty.com

 

- 

- 

WebKit

Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

Impacto: Visitar un sitio web creado con fines malintencionados podría provocar un ataque basado en la vulnerabilidad de secuencias de comandos en sitios cruzados

Descripción: Existía un problema de canonicalización en la gestión de direcciones URL. Esto podría haber dado lugar a secuencias de comandos entre sitios cruzados que utilizaban la propiedad location.href. Este problema se ha solucionado mediante la mejora de la canonicalización de las URL.

ID CVE

CVE-2012-3695: Masato Kinugawa

 

- 

- 

WebKit

Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

Impacto: Visitar un sitio web creado con fines malintencionados podría provocar la división de solicitudes HTTP

Descripción: Existía un problema de inyección de encabezados HTTP en la gestión de WebSockets. Este problema se ha solucionado mejorando el saneamiento de la URI de WebSockets.

ID CVE

CVE-2012-3696: David Belcher de BlackBerry Security Incident Response Team

 

- 

- 

WebKit

Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4

Impacto: Un sitio web creado con fines malintencionados podría suplantar el valor de la barra de dirección URL

Descripción: Existía un problema de administración de estados en la gestión del historial de sesión. Navegar a una parte de la página actual podría provocar que Safari mostrase información incorrecta en la barra de dirección URL. Este problema se ha solucionado mediante el seguimiento mejorado del estado de la sesión.

ID CVE

CVE-2011-2845: Jordi Chancel

 

- 

- 

WebKit

Disponible para: OS X Lion v10.7.4, Lion Server v10.7.4

Impacto: Un atacante podría escapar de la zona protegida y acceder a cualquier archivo al que el usuario actual tenga acceso

Descripción: Existía un problema de control de acceso en la gestión de direcciones URL de archivos. Un atacante que obtuviera la capacidad de ejecutar código arbitrario en un WebProcess de Safari podría eludir la zona protegida y acceder a cualquier archivo al que tuviera acceso el usuario que estuviera ejecutando Safari. Este problema se ha solucionado mejorando la gestión de las URL.

ID CVE

CVE-2012-3697: Aaron Sigel de vtty.com

 

- 

- 

WebKit

Disponible para: OS X Lion v10.7.4, Lion Server v10.7.4

Impacto: Visitar un sitio web creado con fines malintencionados podría provocar la divulgación de los contenidos de la memoria

Descripción: Existía un problema de acceso a la memoria no inicializada en la gestión de imágenes SVG. Este problema se ha solucionado mejorando la inicialización de la memoria.

ID CVE

CVE-2012-3650: Apple