A Safari 6.0.5 biztonsági változásjegyzéke

Ez a dokumentum a Safari 6.0.5 biztonsági változásjegyzékét ismerteti.

A Safari 6.0.5 a Szoftverfrissítés funkció segítségével, illetve az Apple letöltési oldaláról tölthető le és telepíthető.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.

Safari 6.0.5

  • WebKit

    A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.3

    Érintett terület: Egy rosszindulatú céllal létrehozott webhely felkeresése váratlan alkalmazásleállást vagy kódvégrehajtást okozhatott.

    Leírás: A WebKit számos memóriasérüléssel kapcsolatos problémát tartalmazott. Hatékonyabb memóriakezeléssel küszöböltük ki a problémákat.

    CVE-azonosító

    CVE-2013-0879 : Atte Kettunen (OUSPG)

    CVE-2013-0991 : Jay Civelli (Chromium fejlesztői közösség)

    CVE-2013-0992 : Google Chrome Security Team (Martin Barbella)

    CVE-2013-0993 : Google Chrome Security Team (Inferno)

    CVE-2013-0994 : David German (Google)

    CVE-2013-0995 : Google Chrome Security Team (Inferno)

    CVE-2013-0996 : Google Chrome Security Team (Inferno)

    CVE-2013-0997 : Vitaliy Toropov a HP Zero Day kezdeményezésével együttműködve

    CVE-2013-0998 : pa_kt a HP Zero Day kezdeményezésével együttműködve

    CVE-2013-0999 : pa_kt a HP Zero Day kezdeményezésével együttműködve

    CVE-2013-1000 : Fermin J. Serna (Google Security Team)

    CVE-2013-1001 : Ryan Humenick

    CVE-2013-1002 : Sergey Glazunov

    CVE-2013-1003 : Google Chrome Security Team (Inferno)

    CVE-2013-1004 : Google Chrome Security Team (Martin Barbella)

    CVE-2013-1005 : Google Chrome Security Team (Martin Barbella)

    CVE-2013-1006 : Google Chrome Security Team (Martin Barbella)

    CVE-2013-1007 : Google Chrome Security Team (Inferno)

    CVE-2013-1008 : Sergey Glazunov

    CVE-2013-1009 : Apple

    CVE-2013-1010 : miaubiz

    CVE-2013-1011 : Google Chrome Security Team (Inferno)

    CVE-2013-1023 : Google Chrome Security Team (Inferno)

  • WebKit

    A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.3

    Érintett terület: Egy rosszindulatú céllal létrehozott webhely felkeresése may lead to a webhelyek közötti szkriptelési támadáshoz vezethetett.

    Leírás: Webhelyek közötti, szkriptekkel kapcsolatos probléma állt fenn a beágyazott (iframe) keretek kezelésében. Ezt a problémát az eredetek nyomon követésének javítása révén küszöböltük ki.

    CVE-ID

    CVE-2013-1012: Subodh Iyengar és Erling Ellingsen (Facebook)

  • WebKit

    A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.3

    Érintett terület: A rosszindulatú HTML-kódrészletek másolása és beillesztése webhelyek közötti szkriptelési támadáshoz vezethetett.

    Leírás: Webhelyek közötti, szkriptekkel kapcsolatos probléma állt fenn a másolt és beillesztett adatok HTML-dokumentumokban történő kezelésében. A beillesztett tartalmak további hitelesítésével küszöbölték ki a hibát.

    CVE-ID

    CVE-2013-0926: Aditya Gupta, Subho Halder és Dev Kar (xys3c, xysec.com)

  • WebKit

    A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.3

    Érintett terület: Egy ártó szándékkal létrehozott hivatkozás megnyitása rendellenes működést eredményezhetett a célwebhelyen

    Leírás: A webhelyek közötti szkriptelési támadás megakadályozása érdekében az XSS Auditor felülírhatta az URL-címeket. Ez ártó módon módosíthatta az űrlapbeküldés működését. Az URL-címek ellenőrzésének javításával szüntettük meg a problémát.

    CVE-azonosító

    CVE-2013-1013 : Sam Power (Pentest Limited)

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: