Mengenai konten keamanan Safari 6

Dokumen ini menjelaskan konten keamanan Safari 6.

Demi melindungi pelanggan kami, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk mengetahui informasi mengenai Kunci PGP Keamanan Produk Apple, baca "Cara menggunakan Kunci PGP Keamanan Produk Apple."

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, baca "Pembaruan Keamanan Apple".

Safari 6.0

Safari
Tersedia untuk: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Dampak: Mengunjungi situs web yang dibuat berbahaya dapat mengakibatkan serangan skripting lintas situs.
Deskripsi: Masalah skripting lintas situs terjadi saat penanganan umpan:// URL. Pembaruan ini menghapus penanganan umpan:// URL.
CVE-ID
CVE-2012-0678 : Masato Kinugawa

Safari
Tersedia untuk: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Dampak: Mengunjungi situs web yang dibuat berbahaya dapat mengakibatkan berkas dari sistem pengguna dikirimkan ke server jarak jauh
Deskripsi: Masalah kontrol akses terjadi saat penanganan umpan:// URL. Pembaruan ini menghapus penanganan umpan:// URL.
CVE-ID
CVE-2012-0679 : Aaron Sigel dari vtty.com

Safari
Tersedia untuk: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Dampak: Kata sandi dapat diselesaikan secara otomatis bahkan saat situs menentukan bahwa penyelesaian otomatis harus dinonaktifkan
Deskripsi: Elemen input kata sandi dengan atribut penyelesaian otomatis yang diatur ke "mati" diselesaikan secara otomatis. Pembaruan ini mengatasi masalah dengan peningkatan penanganan atribut penyelesaian otomatis.
CVE-ID
CVE-2012-0680 : Dan Poltawski dari Moodle

Unduhan Safari
Tersedia untuk: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Dampak: Membuka file yang dibuat berbahaya pada situs web tertentu dapat mengakibatkan serangan skripting lintas situs
Deskripsi: Masalah terjadi pada dukungan Safari untuk nilai 'lampiran' header HTTP Content-Disposition. Header ini digunakan oleh banyak situs web untuk menyediakan file yang diunggah ke situs oleh pihak ketiga, seperti lampiran pada aplikasi e-mail berbasis web. Setiap skrip dalam file yang disediakan dengan nilai header ini akan dijalankan seperti file yang sudah disediakan secara sebaris, dengan akses penuh ke sumber daya lainnya di server awal. Masalah ini diatasi dengan cara mengunduh sumber daya yang disediakan dengan header ini, daripada menampilkannya secara sebaris.
CVE-ID
CVE-2011-3426 : Mickey Shkatov dari laplinker.com, Kyle Osborn, Hidetake Jo di Microsoft dan Microsoft Vulnerability Research (MSVR)

WebKit
Tersedia untuk: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Penjelasan: Beberapa masalah kerusakan memori muncul di WebKit. Masalah ini diatasi melalui peningkatan penanganan memori.
CVE-ID
CVE-2011-3016 : miaubiz
CVE-2011-3021 : Arthur Gerkis
CVE-2011-3027 : miaubiz
CVE-2011-3032 : Arthur Gerkis
CVE-2011-3034 : Arthur Gerkis
CVE-2011-3035 : wushi dari team509 yang bekerja dengan iDefense VCP, Arthur Gerkis
CVE-2011-3036 : miaubiz
CVE-2011-3037 : miaubiz
CVE-2011-3038 : miaubiz
CVE-2011-3039 : miaubiz
CVE-2011-3040 : miaubiz
CVE-2011-3041 : miaubiz
CVE-2011-3042 : miaubiz
CVE-2011-3043 : miaubiz
CVE-2011-3044 : Arthur Gerkis
CVE-2011-3050 : miaubiz
CVE-2011-3053 : miaubiz
CVE-2011-3059 : Arthur Gerkis
CVE-2011-3060 : miaubiz
CVE-2011-3064 : Atte Kettunen dari OUSPG
CVE-2011-3068 : miaubiz
CVE-2011-3069 : miaubiz
CVE-2011-3071 : pa_kt bekerja dengan Zero Day Initiative HP
CVE-2011-3073 : Arthur Gerkis
CVE-2011-3074 : Slawomir Blazek
CVE-2011-3075 : miaubiz
CVE-2011-3076 : miaubiz
CVE-2011-3078 : Martin Barbella dari Tim Keamanan Google Chrome
CVE-2011-3081 : miaubiz
CVE-2011-3086 : Arthur Gerkis
CVE-2011-3089 : Skylined dari Tim Keamanan Google Chrome, miaubiz
CVE-2011-3090 : Arthur Gerkis
CVE-2011-3913 : Arthur Gerkis
CVE-2011-3924 : Arthur Gerkis
CVE-2011-3926 : Arthur Gerkis
CVE-2011-3958 : miaubiz
CVE-2011-3966 : Aki Helin dari OUSPG
CVE-2011-3968 : Arthur Gerkis
CVE-2011-3969 : Arthur Gerkis
CVE-2011-3971 : Arthur Gerkis
CVE-2012-0682 : Keamanan Produk Apple
CVE-2012-0683 : Dave Mandelin dari Mozilla
CVE-2012-1520 : Martin Barbella dari Tim Keamanan Google Chrome menggunakan AddressSanitizer, Jose A. Vazquez dari spa-s3c.blogspot.com bekerja dengan iDefense VCP
CVE-2012-1521 : Skylined dari Tim Keamanan Google Chrome, Jose A. Vazquez dari spa-s3c.blogspot.com bekerja dengan iDefense VCP
CVE-2012-3589 : Dave Mandelin dari Mozilla
CVE-2012-3590 : Keamanan Produk Apple
CVE-2012-3591 : Keamanan Produk Apple
CVE-2012-3592 : Keamanan Produk Apple
CVE-2012-3593 : Keamanan Produk Apple
CVE-2012-3594 : miaubiz
CVE-2012-3595 : Martin Barbella dari Keamanan Google Chrome
CVE-2012-3596 : Skylined dari Tim Keamanan Google Chrome
CVE-2012-3597 : Abhishek Arya dari Tim Keamanan Google Chrome menggunakan AddressSanitizer
CVE-2012-3599 : Abhishek Arya dari Tim Keamanan Google Chrome menggunakan AddressSanitizer
CVE-2012-3600 : David Levin dari komunitas pengembangan Chromium
CVE-2012-3603 : Keamanan Produk Apple
CVE-2012-3604 : Skylined dari Tim Keamanan Google Chrome
CVE-2012-3605 : Cris Neckar dari Tim Keamanan Google Chrome
CVE-2012-3608 : Skylined dari Tim Keamanan Google Chrome
CVE-2012-3609 : Skylined dari Tim Keamanan Google Chrome
CVE-2012-3610 : Skylined dari Tim Keamanan Google Chrome
CVE-2012-3611 : Keamanan Produk Apple
CVE-2012-3615 : Stephen Chenney dari komunitas pengembangan Chromium
CVE-2012-3618 : Abhishek Arya dari Tim Keamanan Google Chrome menggunakan AddressSanitizer
CVE-2012-3620 : Abhishek Arya dari Tim Keamanan Google Chrome
CVE-2012-3625 : Skylined dari Tim Keamanan Google Chrome
CVE-2012-3626 : Keamanan Produk Apple
CVE-2012-3627 : Skylined dan Abhishek Arya dari tim Keamanan Google Chrome
CVE-2012-3628 : Keamanan Produk Apple
CVE-2012-3629 : Abhishek Arya dari Tim Keamanan Google Chrome menggunakan AddressSanitizer
CVE-2012-3630 : Abhishek Arya dari Tim Keamanan Google Chrome menggunakan AddressSanitizer
CVE-2012-3631 : Abhishek Arya dari Tim Keamanan Google Chrome menggunakan AddressSanitizer
CVE-2012-3633 : Martin Barbella dari Tim Keamanan Google Chrome menggunakan AddressSanitizer
CVE-2012-3634 : Martin Barbella dari Tim Keamanan Google Chrome menggunakan AddressSanitizer
CVE-2012-3635 : Martin Barbella dari Tim Keamanan Google Chrome menggunakan AddressSanitizer
CVE-2012-3636 : Martin Barbella dari Tim Keamanan Google Chrome menggunakan AddressSanitizer
CVE-2012-3637 : Martin Barbella dari Tim Keamanan Google Chrome menggunakan AddressSanitizer
CVE-2012-3638 : Martin Barbella dari Tim Keamanan Google Chrome menggunakan AddressSanitizer
CVE-2012-3639 : Martin Barbella dari Tim Keamanan Google Chrome menggunakan AddressSanitizer
CVE-2012-3640 : miaubiz
CVE-2012-3641 : Slawomir Blazek
CVE-2012-3642 : miaubiz
CVE-2012-3644 : miaubiz
CVE-2012-3645 : Martin Barbella dari Tim Keamanan Google Chrome menggunakan AddressSanitizer
CVE-2012-3646 : Julien Chaffraix dari komunitas pengembangan Chromium, Martin Barbella dari Tim Keamanan Google Chrome menggunakan AddressSanitizer
CVE-2012-3653 : Martin Barbella dari Tim Keamanan Google Chrome menggunakan AddressSanitizer
CVE-2012-3655 : Skylined dari Tim Keamanan Google Chrome
CVE-2012-3656 : Abhishek Arya dari Tim Keamanan Google Chrome menggunakan AddressSanitizer
CVE-2012-3661 : Keamanan Produk Apple
CVE-2012-3663 : Skylined dari Tim Keamanan Google Chrome
CVE-2012-3664 : Thomas Sepez dari komunitas pengembangan Chromium
CVE-2012-3665 : Martin Barbella dari Tim Keamanan Google Chrome menggunakan AddressSanitizer
CVE-2012-3666 : Apple
CVE-2012-3667 : Trevor Squires dari propaneapp.com
CVE-2012-3668 : Keamanan Produk Apple
CVE-2012-3669 : Keamanan Produk Apple
CVE-2012-3670 : Abhishek Arya dari Tim Keamanan Google Chrome menggunakan AddressSanitizer, Arthur Gerkis
CVE-2012-3674 : Skylined dari Tim Keamanan Google Chrome
CVE-2012-3678 : Keamanan Produk Apple
CVE-2012-3679 : Chris Leary dari Mozilla
CVE-2012-3680 : Skylined dari Tim Keamanan Google Chrome
CVE-2012-3681 : Apple
CVE-2012-3682 : Adam Barth dari Tim Keamanan Google Chrome
CVE-2012-3683 : wushi dari team509 bekerja dengan iDefense VCP
CVE-2012-3686 : Robin Cao dari Torch Mobile (Beijing)

WebKit
Tersedia untuk: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Dampak: Menyeret dan menjatuhkan teks yang dipilih pada halaman web dapat mengakibatkan pengungkapan informasi lintas situs
Deskripsi: Masalah lintas sumber terjadi saat penanganan kejadian seret dan jatuhkan. Masalah ini diatasi melalui peningkatan pelacakan sumber.
CVE-ID
CVE-2012-3689 : David Bloom dari Cue

WebKit
Tersedia untuk: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Dampak: Menyeret dan menjatuhkan teks yang dipilih pada halaman web dapat mengakibatkan file dari sistem pengguna dikirim ke server jarak jauh.
Deskripsi: Masalah kontrol akses terjadi saat penanganan kejadian seret dan jatuhkan. Masalah ini diatasi melalui peningkatan pelacakan sumber.
CVE-ID
CVE-2012-3690 : David Bloom dari Cue

WebKit
Tersedia untuk: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Dampak: Mengunjungi situs web yang dibuat berbahaya dapat mengakibatkan pengungkapan lintas situs dari informasi.
Deskripsi: masalah lintas sumber terjadi saat penanganan nilai properti CSS. Masalah ini diatasi melalui peningkatan pelacakan sumber.
CVE-ID
CVE-2012-3691 : Apple

WebKit
Tersedia untuk: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Dampak: Situs web berbahaya dapat mengganti konten iframe di situs lain
Deskripsi: Masalah lintas sumber terjadi saat penanganan iframe pada jendela popup. Masalah ini diatasi melalui peningkatan pelacakan sumber.
CVE-ID
CVE-2011-3067 : Sergey Glazunov

WebKit
Tersedia untuk: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Dampak: Mengunjungi situs web yang dibuat berbahaya dapat mengakibatkan pengungkapan lintas situs dari informasi.
Deskripsi: Masalah lintas sumber terjadi saat penanganan iframe dan pengenal fragmen. Masalah ini diatasi melalui peningkatan pelacakan sumber.
CVE-ID
CVE-2012-2815 : Elie Bursztein, Baptiste Gourdin, Gustav Rydstedt, dan Dan Boneh dari jurusan Security Laboratory Stanford University

WebKit
Tersedia untuk: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Dampak: Karakter mirip di sebuah URL dapat digunakan untuk menyamar sebagai sebuah situs web
Deskripsi: Dukungan International Domain Name (IDN) dan fon Unicode yang dilekatkan pada Safari dapat digunakan untuk membuat URL yang berisi karakter mirip. Ini dapat digunakan dalam situs web berbahaya untuk mengarahkan pengguna ke situs palsu yang secara visual terlihat sebagai domain yang sah. Masalah ini diatasi dengan melengkapi daftar WebKit untuk karakter mirip yang dikenal. Karakter yang dikenal ini diberikan pada Punycode di bar alamat.
CVE-ID
CVE-2012-3693 : Matt Cooley dari Symantec

WebKit
Tersedia untuk: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Dampak: Menyeret dan menjatuhkan file ke Safari dapat memperlihatkan path sistem file dari file tersebut ke situs web.
Deskripsi: Masalah pengungkapan informasi terjadi saat penanganan file yang diseret. Masalah ini diatasi melalui peningkatan penanganan file yang diseret.
CVE-ID
CVE-2012-3694 : Daniel Cheng dari Google, Aaron Sigel dari vtty.com

WebKit
Tersedia untuk: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Dampak: Mengunjungi situs web yang dibuat berbahaya dapat mengakibatkan serangan skripting lintas situs.
Deskripsi: Masalah kanonikalisasi terjadi saat penanganan URL. Kanonikalisasi dapat mengakibatkan skripting lintas situs pada situs yang menggunakan properti location.href. Masalah ini diatasi melalui peningkatan kanonikalisasi URL.
CVE-ID
CVE-2012-3695 : Masato Kinugawa

WebKit
Tersedia untuk: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Dampak: Mengunjungi situs web yang dibuat berbahaya dapat mengakibatkan pemisahan permintaan HTTP
Deskripsi: Masalah injeksi header HTTP terjadi saat penanganan WebSocket. Masalah ini diatasi melalui peningkatan sanitasi URI WebSocket.
CVE-ID
CVE-2012-3696 : David Belcher dari Tim Tanggapan Insiden Keamanan BlackBerry

WebKit
Tersedia untuk: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Dampak: Situs web yang dibuat berbahaya dapat menipu nilai pada bar URL
Deskripsi: Masalah manajemen kondisi terjadi saat penanganan riwayat sesi. Navigasi ke fragmen di halaman saat ini dapat mengakibatkan Safari menampilkan informasi salah pada bar URL. Masalah ini diatasi melalui peningkatan pelacakan kondisi sesi.
CVE-ID
CVE-2011-2845 : Jordi Chancel

WebKit
Tersedia untuk: OS X Lion v10.7.4, Lion Server v10.7.4
Dampak: Penyerang dapat menghindari sandbox dan mengakses setiap file yang dapat diakses pengguna.
Deskripsi: Masalah kontrol akses terjadi saat penanganan URL. Penyerang yang mendapatkan eksekusi kode arbitrer pada Safari WebProcess (Proses Web Safari) dapat menghindari sandbox dan mengakses setiap file yang dapat diakses pengguna yang mengoperasikan Safari. Masalah ini diatasi melalui peningkatan penanganan URL file.
CVE-ID
CVE-2012-3697 : Aaron Sigel dari vtty.com

WebKit
Tersedia untuk: OS X Lion v10.7.4, Lion Server v10.7.4
Dampak: Mengunjungi situs web yang dibuat berbahaya dapat mengakibatkan pengungkapan dari pengungkapan konten memori.
Deskripsi: Masalah akses memori yang tidak diinisialisasi terjadi saat penanganan gambar SVG. Masalah ini diatasi melalui peningkatan inisialisasi memori.
CVE-ID
CVE-2012-3650 : Apple

Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: 03 November 2023