Tietoja Safari 6.0.5:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan Safari 6.0.5:n turvallisuussisällöstä.

Safari 6.0.5:n voi ladata ja asentaa ohjelmistopäivitysasetuksista tai Applen Lataukset-sivulta.

Apple haluaa suojella asiakkaitaan, eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

Safari 6.0.5

• WebKit

  Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.3

  Vaikutus: haitallisella verkkosivustolla vierailu saattoi aiheuttaa odottamattoman ohjelman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

  Kuvaus: WebKitissä oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.

  CVE-ID

  CVE-2013-0879: Atte Kettunen (OUSPG)

  CVE-2013-0991: Jay Civelli (Chromium development community)

  CVE-2013-0992: Google Chrome Security Team (Martin Barbella)

  CVE-2013-0993: Google Chrome Security Team (Inferno)

  CVE-2013-0994: David German (Google)

  CVE-2013-0995: Google Chrome Security Team (Inferno)

  CVE-2013-0996: Google Chrome Security Team (Inferno)

  CVE-2013-0997: Vitaliy Toropov yhteistyössä HP:n Zero Day Initiativen kanssa

  CVE-2013-0998: pa_kt yhteistyössä HP:n Zero Day Initiativen kanssa

  CVE-2013-0999: pa_kt yhteistyössä HP:n Zero Day Initiativen kanssa

  CVE-2013-1000: Fermin J. Serna (Google Security Team)

  CVE-2013-1001: Ryan Humenick

  CVE-2013-1002: Sergey Glazunov

  CVE-2013-1003: Google Chrome Security Team (Inferno)

  CVE-2013-1004: Google Chrome Security Team (Martin Barbella)

  CVE-2013-1005: Google Chrome Security Team (Martin Barbella)

  CVE-2013-1006: Google Chrome Security Team (Martin Barbella)

  CVE-2013-1007: Google Chrome Security Team (Inferno)

  CVE-2013-1008: Sergey Glazunov

  CVE-2013-1009: Apple

  CVE-2013-1010: miaubiz

  CVE-2013-1011: Google Chrome Security Team (Inferno)

  CVE-2013-1023: Google Chrome Security Team (Inferno)

• WebKit

  Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.3

  Vaikutus: haitallisella verkkosivustolla vierailu saattoi johtaa sivustojen väliseen komentosarjahyökkäykseen.

  Kuvaus: iframes-kohteiden käsittelytavassa oli sivustojen välinen komentosarjaongelma. Ongelma on ratkaistu parantamalla alkuperän seurantaa.

  CVE-ID

  CVE-2013-1012: Subodh Iyengar ja Erling Ellingsen (Facebook)

• WebKit

  Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.3

  Vaikutus: haitallisen HTML-leikkeen kopioiminen ja sijoittaminen saattoi johtaa sivustojen väliseen komentosarjahyökkäykseen.

  Kuvaus: Kopioitujen ja sijoitettujen HTML-dokumenttien tietojen käsittelytavassa oli sivustojen välinen komentosarjaongelma. Ongelma on ratkaistu sijoitettujen sisältöjen lisätarkistuksella.

  CVE-ID

  CVE-2013-0926: Aditya Gupta, Subho Halder ja Dev Kar (xys3c, xysec.com)

• WebKit

  Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.3

  Vaikutus: haitallisen linkin seuraaminen saattoi johtaa odottamattomaan käyttäytymiseen kohdesivustolla.

  Kuvaus: XSS Auditor saattoi uudelleenkirjoittaa URL-osoitteet, jotta sivustojen väliset komentosarjahyökkäykset voitiin estää. Tämä saattoi aiheuttaa haitallisen muutoksen lomakkeen lähetyskäyttäytymiseen. Ongelma on ratkaistu parantamalla URL-osoitteiden tarkistamista.

  CVE-ID

  CVE-2013-1013: Sam Power (Pentest Limited)