Informationen zum Sicherheitsinhalt von Safari 5.1.4

In diesem Dokument wird der Sicherheitsinhalt von Safari 5.1.4 beschrieben.

Dieser Artikel wurde archiviert und wird von Apple nicht mehr aktualisiert.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple PGP-Schlüssel für die Produktsicherheit finden Sie unter "Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit".

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter "Apple-Sicherheitsupdates".
 

Safari 5.1.4

  • Safari

    Verfügbar für: Windows 7, Vista, XP SP2 oder neuer

    Auswirkung: Doppelgängerzeichen in einer URL können zur Maskierung einer Website verwendet werden

    Beschreibung: Die IDN-Unterstützung (International Domain Name) in Safari könnte verwendet werden, um URLs zu erstellen, die Doppelgängerzeichen enthalten. Diese können in einer schädlichen Website verwendet werden, um den Benutzer auf eine gefälschte Site zu leiten, die auf den ersten Blick eine legitime Domain aufzuweisen scheint. Das Problem wird durch eine verbesserte Echtheitsprüfung des Domänennamens behoben. Das Problem betrifft keine OS X-Systeme.

    CVE-ID

    CVE-2012-0584: Matt Cooley von Symantec

  • Safari

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 oder neuer

    Auswirkung: Besuche auf Webseiten werden möglicherweise im Browserverlauf protokolliert, auch wenn das private Surfen aktiviert wurde

    Beschreibung: Das private Surfen in Safari wurde so konzipiert, dass Sitzungen nicht protokolliert werden. Seiten, die besucht wurden, weil eine Website die JavaScript-Methode pushState oder replaceState verwendet, wurden im Browserverlauf protokolliert, auch wenn das private Surfen aktiviert war. Dieses Problem wurde behoben. Solche Besuche werden bei aktiviertem Modus für privates Surfen nicht mehr aufgezeichnet.

    CVE-ID

    CVE-2012-0585: Eric Melville von American Express

  • WebKit

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 oder neuer

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu Cross-Site-Scripting-Angriffen führen

    Beschreibung: In WebKit kam es zu mehreren Cross-Site-Scripting-Fehlern

    CVE-ID

    CVE-2011-3881: Sergey Glazunov

    CVE-2012-0586: Sergey Glazunov

    CVE-2012-0587: Sergey Glazunov

    CVE-2012-0588: Jochen Eisinger vom Google Chrome Team

    CVE-2012-0589: Alan Austin von polyvore.com

  • WebKit

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 oder neuer

    Auswirkung: Das Aufrufen einer in böswilliger Absicht erstellten Website kann zur Preisgabe von Cookies führen

    Beschreibung: In WebKit kam es zu einem Cross-Origin-Problem, bei dem Cookies an Origins preisgegeben werden konnten.

    CVE-ID

    CVE-2011-3887: Sergey Glazunov

  • WebKit

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 oder neuer

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann beim Ziehen von Inhalten mit der Maus zu Cross-Site-Scripting-Angriffen führen

    Beschreibung: In WebKit kam es zu einem Cross-Origin-Problem, bei dem Inhalte per Drag & Drop an Origins bewegt werden konnten.

    CVE-ID

    CVE-2012-0590: Adam Barth vom Google Chrome-Sicherheitsteam

  • WebKit

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 oder neuer

    Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: In WebKit gab es mehrere Speicherfehler.

    CVE-ID

    CVE-2011-2825: wushi von team509 in Zusammenarbeit mit der TippingPoint Zero Day Initiative

    CVE-2011-2833: Apple

    CVE-2011-2846: Arthur Gerkis, miaubiz

    CVE-2011-2847: miaubiz, Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

    CVE-2011-2854: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

    CVE-2011-2855: Arthur Gerkis, von team509 in Zusammenarbeit mit iDefende VCP

    CVE-2011-2857: miaubiz

    CVE-2011-2860: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

    CVE-2011-2866: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

    CVE-2011-2867: Dirk Schulze

    CVE-2011-2868: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

    CVE-2011-2869: Cris Neckar vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

    CVE-2011-2870: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

    CVE-2011-2871: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

    CVE-2011-2872: Abhishek Arya (Inferno) und Cris Neckar vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

    CVE-2011-2873: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

    CVE-2011-2877: miaubiz

    CVE-2011-3885: miaubiz

    CVE-2011-3888: miaubiz

    CVE-2011-3897: pa_kt in Zusammenarbeit mit der Zero Day Initiative von TippingPoint

    CVE-2011-3908: Aki Helin von OUSPG

    CVE-2011-3909: Google Chrome-Sicherheitsteam (scarybeasts) und Chu

    CVE-2011-3928: wushi von team509 in Zusammenarbeit mit der TippingPoint Zero Day Initiative

    CVE-2012-0591: miaubiz und Martin Barbella

    CVE-2012-0592: Alexander Gavrun in Zusammenarbeit mit der Zero Day Initiative von TippingPoint

    CVE-2012-0593: Lei Zhang von der Chromium-Entwicklergemeinde

    CVE-2012-0594: Adam Klein von der Chromium-Entwicklergemeinde

    CVE-2012-0595: Apple

    CVE-2012-0596: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

    CVE-2012-0597: miaubiz

    CVE-2012-0598: Sergey Glazunov

    CVE-2012-0599: Dmytro Gorbunov von SaveSources.com

    CVE-2012-0600: Marshall Greenblatt, Dharani Govindan von Google Chrome, miaubiz, Aki Helin von OUSPG

    CVE-2012-0601: Apple

    CVE-2012-0602: Apple

    CVE-2012-0603: Apple

    CVE-2012-0604: Apple

    CVE-2012-0605: Apple

    CVE-2012-0606: Apple

    CVE-2012-0607: Apple

    CVE-2012-0608: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

    CVE-2012-0609: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

    CVE-2012-0610: miaubiz, Martin Barbella unter Verwendung von AddressSanitizer

    CVE-2012-0611: Martin Barbella unter Verwendung von AddressSanitizer

    CVE-2012-0612: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

    CVE-2012-0613: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

    CVE-2012-0614: miaubiz, Martin Barbella unter Verwendung von AddressSanitizer

    CVE-2012-0615: Martin Barbella unter Verwendung von AddressSanitizer

    CVE-2012-0616: miaubiz

    CVE-2012-0617: Martin Barbella unter Verwendung von AddressSanitizer

    CVE-2012-0618: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

    CVE-2012-0619: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

    CVE-2012-0620: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

    CVE-2012-0621: Martin Barbella unter Verwendung von AddressSanitizer

    CVE-2012-0622: Dave Levin und Abhishek Arya vom Google Chrome-Sicherheitsteam

    CVE-2012-0623: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

    CVE-2012-0624: Martin Barbella unter Verwendung von AddressSanitizer

    CVE-2012-0625: Martin Barbella

    CVE-2012-0626: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

    CVE-2012-0627: Apple

    CVE-2012-0628: Slawomir Blazek, miaubiz, Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

    CVE-2012-0629: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam

    CVE-2012-0630: Sergio Villar Senin von Igalia

    CVE-2012-0631: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam

    CVE-2012-0632: Cris Neckar vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

    CVE-2012-0633: Apple

    CVE-2012-0635: Julien Chaffraix von der Chromium-Entwicklergemeinde und Martin Barbella unter Verwendung von AddressSanitizer

    CVE-2012-0636: Jeremy Apthorp von Google, Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

    CVE-2012-0637: Apple

    CVE-2012-0638: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

    CVE-2012-0639: Abhishek Arya (Inferno) vom Google Chrome-Sicherheitsteam unter Verwendung von AddressSanitizer

    CVE-2012-0648: Apple

  • WebKit

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 oder neuer

    Auswirkung: Cookies von Drittanbieter-Websites werden angelegt, auch wenn laut Konfiguration Cookies in Safari blockiert werden

    Beschreibung: Es bestand ein Problem bei der Durchsetzung der Cookie-Einstellungen. Websites Dritter konnten Cookies anlegen, auch wenn die Einstellung "Cookies blockieren" auf die Standardauswahl "Von Dritten oder Werbeanbietern" gesetzt war.

    CVE-ID

    CVE-2012-0640: nshah

  • WebKit

    Verfügbar für: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 oder neuer

    Auswirkung: Die Anmeldeinformationen der HTTP-Authentifizierung können versehentlich einer anderen Site zugänglich gemacht werden

    Beschreibung: Wenn eine Site die HTTP-Authentifizierung verwendet und dann auf eine andere Site umgeleitet hat, konnten die Anmeldeinformationen an die andere Site gesendet werden.

    CVE-ID

    CVE-2012-0647: Anonymer Forscher

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: