Acerca del contenido de seguridad de Safari 5.1.4.

Este documento describe el contenido de seguridad de Safari 5.1.4.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener información acerca de la Clave PGP de la Seguridad de los productos de Apple, visita "Cómo usar la Clave PGP de la Seguridad de los productos de Apple".

Siempre que sea posible, se utilizan ID CVE para hacer referencia a las vulnerabilidades a fin de obtener más información.

Para obtener información acerca de las actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".

Safari 5.1.4

• Safari

Disponible para: Windows 7, Vista, XP SP2 o posterior

Impacto: Caracteres similares en una dirección URL podrían utilizarse para enmascarar un sitio web

Descripción: La compatibilidad con el nombre de dominio internacionalizado (IDN) de Safari podría usarse para crear una URL que contuviera caracteres similares. Estos podrían emplearse en un sitio web malintencionado para remitir al usuario a un sitio falso que visualmente se pareciera a un dominio legítimo. Este problema se resuelve mediante una comprobación de validez de nombre de dominio mejorada. Este problema no afecta a los sistemas OS X.

ID CVE

CVE-2012-0584: Matt Cooley de Symantec

• Safari

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.3, OS X Lion Server v10.7.3, Windows 7, Vista, XP SP2 o posterior

Impacto: Las visitas a páginas web podrían almacenarse en el historial de un navegador incluso con la navegación privada activada

Descripción: La navegación privada de Safari está diseñada para impedir el registro de una sesión de navegación. Las páginas visitadas como resultado de que un sitio use los métodos JavaScript pushState o replaceState se registraban en el historial de cada navegador incluso con el modo de navegación privada activado. Este problema se resuelve si se impide el registro de esas visitas cuando la navegación privada está activada.

ID CVE

CVE-2012-0585: Eric Melville de American Express

• WebKit

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.3, OS X Lion Server v10.7.3, Windows 7, Vista, XP SP2 o posterior

Impacto: La visita a un sitio web creado para fines malintencionados puede provocar un ataque a la vulnerabilidad de secuencias de comandos entre sitios cruzados

Descripción: WebKit presentaba varios problemas de vulnerabilidad de secuencias de comandos entre sitios cruzados.

ID CVE

CVE-2011-3881: Sergey Glazunov

CVE-2012-0586: Sergey Glazunov

CVE-2012-0587: Sergey Glazunov

CVE-2012-0588: Jochen Eisinger de Google Chrome Team

CVE-2012-0589: Alan Austin de polyvore.com

• WebKit

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.3, OS X Lion Server v10.7.3, Windows 7, Vista, XP SP2 o posterior

Impacto: La visita a un sitio web creado para fines malintencionados puede provocar la divulgación de cookies

Descripción: WebKit presentaba un problema de orígenes cruzados, lo que podía permitir que las cookies se divulgaran entre orígenes.

ID CVE

CVE-2011-3887: Sergey Glazunov

• WebKit

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.3, OS X Lion Server v10.7.3, Windows 7, Vista, XP SP2 o posterior

Impacto: Visitar un sitio web creado para fines malintencionados y arrastrar contenido con el mouse puede provocar un ataque a la vulnerabilidad de secuencias de comandos entre sitios cruzados

Descripción: WebKit presentaba un problema de orígenes cruzados, lo que podía permitir que se arrastrase y soltase contenido entre orígenes.

ID CVE

CVE-2012-0590: Adam Barth de Google Chrome Security Team

• WebKit

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.3, OS X Lion Server v10.7.3, Windows 7, Vista, XP SP2 o posterior

Impacto: Visitar un sitio web creado con códigos maliciosos puede llevar al cierre inesperado de la aplicación o la ejecución de código arbitraria

Descripción: Existían varios problemas de corrupción de memoria en WebKit.

ID CVE

CVE-2011-2825: wushi de team509, colaborador de Zero Day Initiative de TippingPoint

CVE-2011-2833: Apple

CVE-2011-2846: Arthur Gerkis, miaubiz

CVE-2011-2847: miaubiz, Abhishek Arya (Inferno) de Google Chrome Security Team usando AddressSanitizer

CVE-2011-2854: Abhishek Arya (Inferno) de Google Chrome Security Team usando AddressSanitizer

CVE-2011-2855: Arthur Gerkis, wushi de team509 colaborador de iDefense VCP

CVE-2011-2857: miaubiz

CVE-2011-2860: Abhishek Arya (Inferno) de Google Chrome Security Team usando AddressSanitizer

CVE-2011-2866: Abhishek Arya (Inferno) de Google Chrome Security Team usando AddressSanitizer

CVE-2011-2867: Dirk Schulze

CVE-2011-2868: Abhishek Arya (Inferno) de Google Chrome Security Team usando AddressSanitizer

CVE-2011-2869: Cris Neckar de Google Chrome Security Team usando AddressSanitizer

CVE-2011-2870: Abhishek Arya (Inferno) de Google Chrome Security Team usando AddressSanitizer

CVE-2011-2871: Abhishek Arya (Inferno) de Google Chrome Security Team usando AddressSanitizer

CVE-2011-2872: Abhishek Arya (Inferno) y Cris Neckar de Google Chrome Security Team usando AddressSanitizer

CVE-2011-2873: Abhishek Arya (Inferno) de Google Chrome Security Team usando AddressSanitizer

CVE-2011-2877: miaubiz

CVE-2011-3885: miaubiz

CVE-2011-3888: miaubiz

CVE-2011-3897: pa_kt, colaborador de Zero Day Initiative de TippingPoint

CVE-2011-3908: Aki Helin de OUSPG

CVE-2011-3909: Google Chrome Security Team (scarybeasts) y Chu

CVE-2011-3928: wushi de team509, colaborador de Zero Day Initiative de TippingPoint

CVE-2012-0591: miaubiz y Martin Barbella

CVE-2012-0592: Alexander Gavrun, colaborador de Zero Day Initiative de TippingPoint

CVE-2012-0593: Lei Zhang de la comunidad de desarrollo Chromium

CVE-2012-0594: Adam Klein de la comunidad de desarrollo Chromium

CVE-2012-0595: Apple

CVE-2012-0596: Abhishek Arya (Inferno) de Google Chrome Security Team usando AddressSanitizer

CVE-2012-0597: miaubiz

CVE-2012-0598: Sergey Glazunov

CVE-2012-0599: Dmytro Gorbunov de SaveSources.com

CVE-2012-0600: Marshall Greenblatt, Dharani Govindan de Google Chrome, miaubiz, Aki Helin de OUSPG

CVE-2012-0601: Apple

CVE-2012-0602: Apple

CVE-2012-0603: Apple

CVE-2012-0604: Apple

CVE-2012-0605: Apple

CVE-2012-0606: Apple

CVE-2012-0607: Apple

CVE-2012-0608: Abhishek Arya (Inferno) de Google Chrome Security Team usando AddressSanitizer

CVE-2012-0609: Abhishek Arya (Inferno) de Google Chrome Security Team usando AddressSanitizer

CVE-2012-0610: miaubiz, Martin Barbella usando AddressSanitizer

CVE-2012-0611: Martin Barbella usando AddressSanitizer

CVE-2012-0612: Abhishek Arya (Inferno) de Google Chrome Security Team usando AddressSanitizer

CVE-2012-0613: Abhishek Arya (Inferno) de Google Chrome Security Team usando AddressSanitizer

CVE-2012-0614: miaubiz, Martin Barbella usando AddressSanitizer

CVE-2012-0615: Martin Barbella usando AddressSanitizer

CVE-2012-0616: miaubiz

CVE-2012-0617: Martin Barbella usando AddressSanitizer

CVE-2012-0618: Abhishek Arya (Inferno) de Google Chrome Security Team usando AddressSanitizer

CVE-2012-0619: Abhishek Arya (Inferno) de Google Chrome Security Team usando AddressSanitizer

CVE-2012-0620: Abhishek Arya (Inferno) de Google Chrome Security Team usando AddressSanitizer

CVE-2012-0621: Martin Barbella usando AddressSanitizer

CVE-2012-0622: Dave Levin y Abhishek Arya de Google Chrome Security Team

CVE-2012-0623: Abhishek Arya (Inferno) de Google Chrome Security Team usando AddressSanitizer

CVE-2012-0624: Martin Barbella usando AddressSanitizer

CVE-2012-0625: Martin Barbella

CVE-2012-0626: Abhishek Arya (Inferno) de Google Chrome Security Team usando AddressSanitizer

CVE-2012-0627: Apple

CVE-2012-0628: Slawomir Blazek, miaubiz, Abhishek Arya (Inferno) de Google Chrome Security Team usando AddressSanitizer

CVE-2012-0629: Abhishek Arya (Inferno) de Google Chrome Security Team

CVE-2012-0630: Sergio Villar Senin de Igalia

CVE-2012-0631: Abhishek Arya (Inferno) de Google Chrome Security Team

CVE-2012-0632: Cris Neckar de Google Chrome Security Team usando AddressSanitizer

CVE-2012-0633: Apple

CVE-2012-0635: Julien Chaffraix de la comunidad de desarrollo Chromium, Martin Barbella usando AddressSanitizer

CVE-2012-0636: Jeremy Apthorp de Google, Abhishek Arya (Inferno) de Google Chrome Security Team usando AddressSanitizer

CVE-2012-0637: Apple

CVE-2012-0638: Abhishek Arya (Inferno) de Google Chrome Security Team usando AddressSanitizer

CVE-2012-0639: Abhishek Arya (Inferno) de Google Chrome Security Team usando AddressSanitizer

CVE-2012-0648: Apple

• WebKit

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.3, OS X Lion Server v10.7.3, Windows 7, Vista, XP SP2 o posterior

Impacto: Los sitios de terceros pueden establecer cookies, incluso cuando Safari se ha configurado para bloquearlas

Descripción: Existía un problema con la ejecución de la política de cookies. Los sitios web de terceros podían establecer cookies si la preferencia "Bloquear cookies" de Safari se había configurado con el ajuste por omisión "De publicidad y de terceros".

ID CVE

CVE-2012-0640: nshah

• WebKit

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.3, OS X Lion Server v10.7.3, Windows 7, Vista, XP SP2 o posterior

Impacto: Las credenciales de autenticación HTTP pueden divulgarse inesperadamente a otro sitio web

Descripción: Si un sitio web usa la autenticación HTTP y se redirige a otro sitio web, las credenciales de autenticación pueden enviarse al otro sitio web.

ID CVE

CVE-2012-0647: Un investigador anónimo