Mengenai konten keamanan Safari 6

Dokumen ini menjelaskan konten keamanan Safari 6.

Demi melindungi pelanggan kami, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk mengetahui informasi mengenai Kunci PGP Keamanan Produk Apple, baca "Cara menggunakan Kunci PGP Keamanan Produk Apple."

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, baca "Pembaruan Keamanan Apple".

Safari 6.0

  • Safari

    Tersedia untuk: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Dampak: Mengunjungi situs web yang dibuat berbahaya dapat mengakibatkan serangan skripting lintas situs.

    Deskripsi: Masalah skripting lintas situs terjadi saat penanganan umpan:// URL. Pembaruan ini menghapus penanganan umpan:// URL.

    CVE-ID

    CVE-2012-0678 : Masato Kinugawa

  • Safari

    Tersedia untuk: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Dampak: Mengunjungi situs web yang dibuat berbahaya dapat mengakibatkan berkas dari sistem pengguna dikirimkan ke server jarak jauh

    Deskripsi: Masalah kontrol akses terjadi saat penanganan umpan:// URL. Pembaruan ini menghapus penanganan umpan:// URL.

    CVE-ID

    CVE-2012-0679 : Aaron Sigel dari vtty.com

  • Safari

    Tersedia untuk: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Dampak: Kata sandi dapat diselesaikan secara otomatis bahkan saat situs menentukan bahwa penyelesaian otomatis harus dinonaktifkan

    Deskripsi: Elemen input kata sandi dengan atribut penyelesaian otomatis yang diatur ke "mati" diselesaikan secara otomatis. Pembaruan ini mengatasi masalah dengan peningkatan penanganan atribut penyelesaian otomatis.

    CVE-ID

    CVE-2012-0680 : Dan Poltawski dari Moodle

  • Unduhan Safari

    Tersedia untuk: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Dampak: Membuka file yang dibuat berbahaya pada situs web tertentu dapat mengakibatkan serangan skripting lintas situs

    Deskripsi: Masalah terjadi pada dukungan Safari untuk nilai 'lampiran' header HTTP Content-Disposition. Header ini digunakan oleh banyak situs web untuk menyediakan file yang diunggah ke situs oleh pihak ketiga, seperti lampiran pada aplikasi e-mail berbasis web. Setiap skrip dalam file yang disediakan dengan nilai header ini akan dijalankan seperti file yang sudah disediakan secara sebaris, dengan akses penuh ke sumber daya lainnya di server awal. Masalah ini diatasi dengan cara mengunduh sumber daya yang disediakan dengan header ini, daripada menampilkannya secara sebaris.

    CVE-ID

    CVE-2011-3426 : Mickey Shkatov dari laplinker.com, Kyle Osborn, Hidetake Jo di Microsoft dan Microsoft Vulnerability Research (MSVR)

  • WebKit

    Tersedia untuk: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Penjelasan: Beberapa masalah kerusakan memori muncul di WebKit. Masalah ini diatasi melalui peningkatan penanganan memori.

    CVE-ID

    CVE-2011-3016 : miaubiz

    CVE-2011-3021 : Arthur Gerkis

    CVE-2011-3027 : miaubiz

    CVE-2011-3032 : Arthur Gerkis

    CVE-2011-3034 : Arthur Gerkis

    CVE-2011-3035 : wushi dari team509 yang bekerja dengan iDefense VCP, Arthur Gerkis

    CVE-2011-3036 : miaubiz

    CVE-2011-3037 : miaubiz

    CVE-2011-3038 : miaubiz

    CVE-2011-3039 : miaubiz

    CVE-2011-3040 : miaubiz

    CVE-2011-3041 : miaubiz

    CVE-2011-3042 : miaubiz

    CVE-2011-3043 : miaubiz

    CVE-2011-3044 : Arthur Gerkis

    CVE-2011-3050 : miaubiz

    CVE-2011-3053 : miaubiz

    CVE-2011-3059 : Arthur Gerkis

    CVE-2011-3060 : miaubiz

    CVE-2011-3064 : Atte Kettunen dari OUSPG

    CVE-2011-3068 : miaubiz

    CVE-2011-3069 : miaubiz

    CVE-2011-3071 : pa_kt bekerja dengan Zero Day Initiative HP

    CVE-2011-3073 : Arthur Gerkis

    CVE-2011-3074 : Slawomir Blazek

    CVE-2011-3075 : miaubiz

    CVE-2011-3076 : miaubiz

    CVE-2011-3078 : Martin Barbella dari Tim Keamanan Google Chrome

    CVE-2011-3081 : miaubiz

    CVE-2011-3086 : Arthur Gerkis

    CVE-2011-3089 : Skylined dari Tim Keamanan Google Chrome, miaubiz

    CVE-2011-3090 : Arthur Gerkis

    CVE-2011-3913 : Arthur Gerkis

    CVE-2011-3924 : Arthur Gerkis

    CVE-2011-3926 : Arthur Gerkis

    CVE-2011-3958 : miaubiz

    CVE-2011-3966 : Aki Helin dari OUSPG

    CVE-2011-3968 : Arthur Gerkis

    CVE-2011-3969 : Arthur Gerkis

    CVE-2011-3971 : Arthur Gerkis

    CVE-2012-0682 : Keamanan Produk Apple

    CVE-2012-0683 : Dave Mandelin dari Mozilla

    CVE-2012-1520 : Martin Barbella dari Tim Keamanan Google Chrome menggunakan AddressSanitizer, Jose A. Vazquez dari spa-s3c.blogspot.com bekerja dengan iDefense VCP

    CVE-2012-1521 : Skylined dari Tim Keamanan Google Chrome, Jose A. Vazquez dari spa-s3c.blogspot.com bekerja dengan iDefense VCP

    CVE-2012-3589 : Dave Mandelin dari Mozilla

    CVE-2012-3590 : Keamanan Produk Apple

    CVE-2012-3591 : Keamanan Produk Apple

    CVE-2012-3592 : Keamanan Produk Apple

    CVE-2012-3593 : Keamanan Produk Apple

    CVE-2012-3594 : miaubiz

    CVE-2012-3595 : Martin Barbella dari Keamanan Google Chrome

    CVE-2012-3596 : Skylined dari Tim Keamanan Google Chrome

    CVE-2012-3597 : Abhishek Arya dari Tim Keamanan Google Chrome menggunakan AddressSanitizer

    CVE-2012-3599 : Abhishek Arya dari Tim Keamanan Google Chrome menggunakan AddressSanitizer

    CVE-2012-3600 : David Levin dari komunitas pengembangan Chromium

    CVE-2012-3603 : Keamanan Produk Apple

    CVE-2012-3604 : Skylined dari Tim Keamanan Google Chrome

    CVE-2012-3605 : Cris Neckar dari Tim Keamanan Google Chrome

    CVE-2012-3608 : Skylined dari Tim Keamanan Google Chrome

    CVE-2012-3609 : Skylined dari Tim Keamanan Google Chrome

    CVE-2012-3610 : Skylined dari Tim Keamanan Google Chrome

    CVE-2012-3611 : Keamanan Produk Apple

    CVE-2012-3615 : Stephen Chenney dari komunitas pengembangan Chromium

    CVE-2012-3618 : Abhishek Arya dari Tim Keamanan Google Chrome menggunakan AddressSanitizer

    CVE-2012-3620 : Abhishek Arya dari Tim Keamanan Google Chrome

    CVE-2012-3625 : Skylined dari Tim Keamanan Google Chrome

    CVE-2012-3626 : Keamanan Produk Apple

    CVE-2012-3627 : Skylined dan Abhishek Arya dari tim Keamanan Google Chrome

    CVE-2012-3628 : Keamanan Produk Apple

    CVE-2012-3629 : Abhishek Arya dari Tim Keamanan Google Chrome menggunakan AddressSanitizer

    CVE-2012-3630 : Abhishek Arya dari Tim Keamanan Google Chrome menggunakan AddressSanitizer

    CVE-2012-3631 : Abhishek Arya dari Tim Keamanan Google Chrome menggunakan AddressSanitizer

    CVE-2012-3633 : Martin Barbella dari Tim Keamanan Google Chrome menggunakan AddressSanitizer

    CVE-2012-3634 : Martin Barbella dari Tim Keamanan Google Chrome menggunakan AddressSanitizer

    CVE-2012-3635 : Martin Barbella dari Tim Keamanan Google Chrome menggunakan AddressSanitizer

    CVE-2012-3636 : Martin Barbella dari Tim Keamanan Google Chrome menggunakan AddressSanitizer

    CVE-2012-3637 : Martin Barbella dari Tim Keamanan Google Chrome menggunakan AddressSanitizer

    CVE-2012-3638 : Martin Barbella dari Tim Keamanan Google Chrome menggunakan AddressSanitizer

    CVE-2012-3639 : Martin Barbella dari Tim Keamanan Google Chrome menggunakan AddressSanitizer

    CVE-2012-3640 : miaubiz

    CVE-2012-3641 : Slawomir Blazek

    CVE-2012-3642 : miaubiz

    CVE-2012-3644 : miaubiz

    CVE-2012-3645 : Martin Barbella dari Tim Keamanan Google Chrome menggunakan AddressSanitizer

    CVE-2012-3646 : Julien Chaffraix dari komunitas pengembangan Chromium, Martin Barbella dari Tim Keamanan Google Chrome menggunakan AddressSanitizer

    CVE-2012-3653 : Martin Barbella dari Tim Keamanan Google Chrome menggunakan AddressSanitizer

    CVE-2012-3655 : Skylined dari Tim Keamanan Google Chrome

    CVE-2012-3656 : Abhishek Arya dari Tim Keamanan Google Chrome menggunakan AddressSanitizer

    CVE-2012-3661 : Keamanan Produk Apple

    CVE-2012-3663 : Skylined dari Tim Keamanan Google Chrome

    CVE-2012-3664 : Thomas Sepez dari komunitas pengembangan Chromium

    CVE-2012-3665 : Martin Barbella dari Tim Keamanan Google Chrome menggunakan AddressSanitizer

    CVE-2012-3666 : Apple

    CVE-2012-3667 : Trevor Squires dari propaneapp.com

    CVE-2012-3668 : Keamanan Produk Apple

    CVE-2012-3669 : Keamanan Produk Apple

    CVE-2012-3670 : Abhishek Arya dari Tim Keamanan Google Chrome menggunakan AddressSanitizer, Arthur Gerkis

    CVE-2012-3674 : Skylined dari Tim Keamanan Google Chrome

    CVE-2012-3678 : Keamanan Produk Apple

    CVE-2012-3679 : Chris Leary dari Mozilla

    CVE-2012-3680 : Skylined dari Tim Keamanan Google Chrome

    CVE-2012-3681 : Apple

    CVE-2012-3682 : Adam Barth dari Tim Keamanan Google Chrome

    CVE-2012-3683 : wushi dari team509 bekerja dengan iDefense VCP

    CVE-2012-3686 : Robin Cao dari Torch Mobile (Beijing)

  • WebKit

    Tersedia untuk: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Dampak: Menyeret dan menjatuhkan teks yang dipilih pada halaman web dapat mengakibatkan pengungkapan informasi lintas situs

    Deskripsi: Masalah lintas sumber terjadi saat penanganan kejadian seret dan jatuhkan. Masalah ini diatasi melalui peningkatan pelacakan sumber.

    CVE-ID

    CVE-2012-3689 : David Bloom dari Cue

  • WebKit

    Tersedia untuk: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Dampak: Menyeret dan menjatuhkan teks yang dipilih pada halaman web dapat mengakibatkan file dari sistem pengguna dikirim ke server jarak jauh.

    Deskripsi: Masalah kontrol akses terjadi saat penanganan kejadian seret dan jatuhkan. Masalah ini diatasi melalui peningkatan pelacakan sumber.

    CVE-ID

    CVE-2012-3690 : David Bloom dari Cue

  • WebKit

    Tersedia untuk: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Dampak: Mengunjungi situs web yang dibuat berbahaya dapat mengakibatkan pengungkapan lintas situs dari informasi.

    Deskripsi: masalah lintas sumber terjadi saat penanganan nilai properti CSS. Masalah ini diatasi melalui peningkatan pelacakan sumber.

    CVE-ID

    CVE-2012-3691 : Apple

  • WebKit

    Tersedia untuk: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Dampak: Situs web berbahaya dapat mengganti konten iframe di situs lain

    Deskripsi: Masalah lintas sumber terjadi saat penanganan iframe pada jendela popup. Masalah ini diatasi melalui peningkatan pelacakan sumber.

    CVE-ID

    CVE-2011-3067 : Sergey Glazunov

  • WebKit

    Tersedia untuk: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Dampak: Mengunjungi situs web yang dibuat berbahaya dapat mengakibatkan pengungkapan lintas situs dari informasi.

    Deskripsi: Masalah lintas sumber terjadi saat penanganan iframe dan pengenal fragmen. Masalah ini diatasi melalui peningkatan pelacakan sumber.

    CVE-ID

    CVE-2012-2815 : Elie Bursztein, Baptiste Gourdin, Gustav Rydstedt, dan Dan Boneh dari jurusan Security Laboratory Stanford University

  • WebKit

    Tersedia untuk: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Dampak: Karakter mirip di sebuah URL dapat digunakan untuk menyamar sebagai sebuah situs web

    Deskripsi: Dukungan International Domain Name (IDN) dan fon Unicode yang dilekatkan pada Safari dapat digunakan untuk membuat URL yang berisi karakter mirip. Ini dapat digunakan dalam situs web berbahaya untuk mengarahkan pengguna ke situs palsu yang secara visual terlihat sebagai domain yang sah. Masalah ini diatasi dengan melengkapi daftar WebKit untuk karakter mirip yang dikenal. Karakter yang dikenal ini diberikan pada Punycode di bar alamat.

    CVE-ID

    CVE-2012-3693 : Matt Cooley dari Symantec

  • WebKit

    Tersedia untuk: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Dampak: Menyeret dan menjatuhkan file ke Safari dapat memperlihatkan path sistem file dari file tersebut ke situs web.

    Deskripsi: Masalah pengungkapan informasi terjadi saat penanganan file yang diseret. Masalah ini diatasi melalui peningkatan penanganan file yang diseret.

    CVE-ID

    CVE-2012-3694 : Daniel Cheng dari Google, Aaron Sigel dari vtty.com

  • WebKit

    Tersedia untuk: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Dampak: Mengunjungi situs web yang dibuat berbahaya dapat mengakibatkan serangan skripting lintas situs.

    Deskripsi: Masalah kanonikalisasi terjadi saat penanganan URL. Kanonikalisasi dapat mengakibatkan skripting lintas situs pada situs yang menggunakan properti location.href. Masalah ini diatasi melalui peningkatan kanonikalisasi URL.

    CVE-ID

    CVE-2012-3695 : Masato Kinugawa

  • WebKit

    Tersedia untuk: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Dampak: Mengunjungi situs web yang dibuat berbahaya dapat mengakibatkan pemisahan permintaan HTTP

    Deskripsi: Masalah injeksi header HTTP terjadi saat penanganan WebSocket. Masalah ini diatasi melalui peningkatan sanitasi URI WebSocket.

    CVE-ID

    CVE-2012-3696 : David Belcher dari Tim Tanggapan Insiden Keamanan BlackBerry

  • WebKit

    Tersedia untuk: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Dampak: Situs web yang dibuat berbahaya dapat menipu nilai pada bar URL

    Deskripsi: Masalah manajemen kondisi terjadi saat penanganan riwayat sesi. Navigasi ke fragmen di halaman saat ini dapat mengakibatkan Safari menampilkan informasi salah pada bar URL. Masalah ini diatasi melalui peningkatan pelacakan kondisi sesi.

    CVE-ID

    CVE-2011-2845 : Jordi Chancel

  • WebKit

    Tersedia untuk: OS X Lion v10.7.4, Lion Server v10.7.4

    Dampak: Penyerang dapat menghindari sandbox dan mengakses setiap file yang dapat diakses pengguna.

    Deskripsi: Masalah kontrol akses terjadi saat penanganan URL. Penyerang yang mendapatkan eksekusi kode arbitrer pada Safari WebProcess (Proses Web Safari) dapat menghindari sandbox dan mengakses setiap file yang dapat diakses pengguna yang mengoperasikan Safari. Masalah ini diatasi melalui peningkatan penanganan URL file.

    CVE-ID

    CVE-2012-3697 : Aaron Sigel dari vtty.com

  • WebKit

    Tersedia untuk: OS X Lion v10.7.4, Lion Server v10.7.4

    Dampak: Mengunjungi situs web yang dibuat berbahaya dapat mengakibatkan pengungkapan dari pengungkapan konten memori.

    Deskripsi: Masalah akses memori yang tidak diinisialisasi terjadi saat penanganan gambar SVG. Masalah ini diatasi melalui peningkatan inisialisasi memori.

    CVE-ID

    CVE-2012-3650 : Apple

Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: