A Safari 5.1.4 biztonsági tartalma

Ez a dokumentum a Safari 5.1.4 biztonsági tartalmát ismerteti.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.

Safari 5.1.4

  • Safari

A következőkhöz érhető el: Windows 7, Vista, XP SP2 és újabb

Érintett terület: Más karakterre hasonlító karakterek URL-címbeli használatával a webhelyek más webhelynek tudták kiadni magukat.

Leírás: A Safari böngészőbe épített IDN- (International Domain Name) támogatás lehetővé tette olyan URL-címek létrehozását, amelyek más karaktereket utánzó karaktereket tartalmaznak. Az ártó szándékkal létrehozott webhelyek ezt úgy tudták kihasználni, hogy a felhasználót olyan hamis webhelyekre irányították, amelyek látszólag hitelesnek tűntek. A doménnév hatékonyabb ellenőrzésével hárították el a problémát. A hiba nem érinti az OS X rendszereket.

CVE-azonosító

CVE-2012-0584 : Matt Cooley (Symantec)

  • Safari

A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 és újabb

Érintett terület: A meglátogatott weboldalak akkor is bekerülhettek a böngészési előzmények közé, ha be volt kapcsolva a Privát böngészés.

Leírás: A Safari alkalmazás Privát böngészés funkciójának célja, hogy megakadályozza az adott böngészési munkamenet rögzítését. A pushState vagy replaceState JavaScript-metódust alkalmazó webhelyek útján meglátogatott oldalak akkor is bekerültek a böngészési előzmények közé, ha a Privát böngészés mód be volt kapcsolva. A probléma orvoslásaként a rendszer immár nem rögzíti az ilyen látogatásokat, ha a Privát böngészés be van kapcsolva.

CVE-azonosító

CVE-2012-0585 : Eric Melville (American Express)

  • WebKit

A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 és újabb

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatása webhelyek közötti, parancsfájlt alkalmazó támadásra adott lehetőséget.

Leírás: A WebKit motor több hiányossága is webhelyek közötti, parancsfájlt alkalmazó támadásra adott lehetőséget.

CVE-azonosító

CVE-2011-3881 : Szergej Glazunov

CVE-2012-0586 : Szergej Glazunov

CVE-2012-0587 : Szergej Glazunov

CVE-2012-0588 : Jochen Eisinger (a Google Chrome csapatának tagja)

CVE-2012-0589 : Alan Austin (polyvore.com)

  • WebKit

A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 és újabb

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatása a sütik közzétételére adott lehetőséget.

Leírás: A WebKit motor kereszteredet-problémát tartalmazott, amely lehetővé tette a sütik eredetek közötti közzétételét.

CVE-azonosító

CVE-2011-3887 : Szergej Glazunov

  • WebKit

A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 és újabb

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatása, majd a tartalmak egérrel történő húzása webhelyek közötti, parancsfájlt alkalmazó támadásra adott lehetőséget.

Leírás: A WebKit motor kereszteredet-problémát tartalmazott, amely tartalom eredetek közötti húzását tette lehetővé.

CVE-azonosító

CVE-2012-0590 : Adam Barth (a Google Chrome biztonsági csapatának tagja)

  • WebKit

A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 és újabb

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatása váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására adott lehetőséget.

Leírás: A WebKit motor több, memóriasérüléssel kapcsolatos problémát tartalmazott.

CVE-azonosító

CVE-2011-2825 : wushi (team509, a TippingPoint Zero Day Initiative kezdeményezésének közreműködőjeként)

CVE-2011-2833 : Apple

CVE-2011-2846 : Arthur Gerkis, miaubiz

CVE-2011-2847 : miaubiz, Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

CVE-2011-2854 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

CVE-2011-2855 : Arthur Gerkis, wushi (team509, az iDefense VCP közreműködőjeként)

CVE-2011-2857 : miaubiz

CVE-2011-2860 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

CVE-2011-2866 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

CVE-2011-2867 : Dirk Schulze

CVE-2011-2868 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

CVE-2011-2869 : Cris Neckar (a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

CVE-2011-2870 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

CVE-2011-2871 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

CVE-2011-2872 : Abhishek Arya (Inferno) és Cris Neckar (a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

CVE-2011-2873 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

CVE-2011-2877 : miaubiz

CVE-2011-3885 : miaubiz

CVE-2011-3888 : miaubiz

CVE-2011-3897 : pa_kt (a TippingPoint Zero Day Initiative kezdeményezésének közreműködőjeként)

CVE-2011-3908 : Aki Helin (OUSPG)

CVE-2011-3909 : A Google Chrome biztonsági csapata (scarybeasts) és Chu

CVE-2011-3928 : wushi (team509, a TippingPoint Zero Day Initiative kezdeményezésének közreműködőjeként)

CVE-2012-0591 : miaubiz és Martin Barbella

CVE-2012-0592 : Alexander Gavrun (a TippingPoint Zero Day Initiative kezdeményezésének közreműködőjeként)

CVE-2012-0593 : Lei Zhang (Chromium fejlesztői közösség)

CVE-2012-0594 : Adam Klein (Chromium fejlesztői közösség)

CVE-2012-0595 : Apple

CVE-2012-0596 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

CVE-2012-0597 : miaubiz

CVE-2012-0598 : Szergej Glazunov

CVE-2012-0599 : Dmytro Gorbunov (SaveSources.com)

CVE-2012-0600 : Marshall Greenblatt, Dharani Govindan (Google Chrome), miaubiz, Aki Helin (OUSPG)

CVE-2012-0601 : Apple

CVE-2012-0602 : Apple

CVE-2012-0603 : Apple

CVE-2012-0604 : Apple

CVE-2012-0605 : Apple

CVE-2012-0606 : Apple

CVE-2012-0607 : Apple

CVE-2012-0608 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

CVE-2012-0609 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

CVE-2012-0610 : miaubiz, Martin Barbella (az AddressSanitizer eszköz segítségével)

CVE-2012-0611 : Martin Barbella (az AddressSanitizer eszköz segítségével)

CVE-2012-0612 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

CVE-2012-0613 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

CVE-2012-0614 : miaubiz, Martin Barbella (az AddressSanitizer eszköz segítségével)

CVE-2012-0615 : Martin Barbella (az AddressSanitizer eszköz segítségével)

CVE-2012-0616 : miaubiz

CVE-2012-0617 : Martin Barbella (az AddressSanitizer eszköz segítségével)

CVE-2012-0618 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

CVE-2012-0619 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

CVE-2012-0620 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

CVE-2012-0621 : Martin Barbella (az AddressSanitizer eszköz segítségével)

CVE-2012-0622 : Dave Levin és Abhishek Arya (a Google Chrome biztonsági csapatának tagjai)

CVE-2012-0623 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

CVE-2012-0624 : Martin Barbella (az AddressSanitizer eszköz segítségével)

CVE-2012-0625 : Martin Barbella

CVE-2012-0626 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

CVE-2012-0627 : Apple

CVE-2012-0628 : Slawomir Blazek, miaubiz, Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

CVE-2012-0629 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja)

CVE-2012-0630 : Sergio Villar Senin (Igalia)

CVE-2012-0631 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja)

CVE-2012-0632 : Cris Neckar (a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

CVE-2012-0633 : Apple

CVE-2012-0635 : Julien Chaffraix (Chromium fejlesztői közösség), Martin Barbella (az AddressSanitizer eszköz segítségével)

CVE-2012-0636 : Jeremy Apthorp (Google), Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

CVE-2012-0637 : Apple

CVE-2012-0638 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

CVE-2012-0639 : Abhishek Arya (Inferno; a Google Chrome biztonsági csapatának tagja; az AddressSanitizer eszköz segítségével)

CVE-2012-0648 : Apple

  • WebKit

A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 és újabb

Érintett terület: A harmadik felek webhelyei beállíthattak sütiket akkor is, ha a Safariban blokkolva voltak.

Leírás: Probléma lépett fel a sütikkel kapcsolatos irányelvek érvényesítésekor. A harmadik felek webhelyei beállíthattak sütiket akkor is, ha a Safariban a „Sütik blokkolása” beállításnál az alapértelmezett lehetőség – „Harmadik felektől és hirdetőktől” – volt megadva.

CVE-azonosító

CVE-2012-0640 : nshah

  • WebKit

A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 és újabb

Érintett terület: A HTTP-hitelesítési adatok véletlenül átkerülhettek egy másik webhelyre.

Leírás: Ha egy webhely HTTP-hitelesítést alkalmazott, és átirányította a felhasználót egy másik webhelyre, előfordult, hogy a hitelesítési adatok átkerültek a másik webhelyre.

CVE-azonosító

CVE-2012-0647 : anonim kutató

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: