この記事はアーカイブ済みで、これ以上更新されることはありません。

Safari 5.1.4 のセキュリティコンテンツについて

Safari 5.1.4 のセキュリティコンテンツについて説明します。

Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては「Apple 製品のセキュリティ」Web サイトを参照してください。

Apple Product Security PGP キーについては「Apple Product Security PGP キーの使用方法」を参照してください。

CVE ID を使って脆弱性を調べることもできます。

他のセキュリティアップデートについてはこちらの記事 を参照してください。

Safari 5.1.4

  • Safari

対象 OS:Windows 7、Vista、XP SP2 以降

影響:URL 中の紛らわしい文字が Web サイトの偽装に悪用される可能性がある。

説明:Safari に組み込まれている国際ドメイン名 (IDN:International Domain Name) サポートが、似たような文字を含む URL の作成に悪用される可能性があります。これらが悪意ある Web サイトで悪用され、ユーザが本物のドメインと視覚的によく似たドメインのなりすましサイトにアクセスしてしまうことがあります。この問題は、ドメイン名の妥当性チェックの強化により解決されています。この問題は OS X システムでは発生しません。

CVE-ID

CVE-2012-0584:Symantec の Matt Cooley 氏

  • Safari

対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、Mac OS X Lion v10.7.3、Mac OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 以降

影響:プライベートブラウズが有効になっていても、ブラウザの履歴に訪問した Web ページが記録される。

説明:Safari のプライベートブラウズはブラウズセッションが記録されないように設計されています。プライベートブラウズモードが有効になっていても、JavaScript メソッドの pushState または replaceState を使用してサイトに訪問したページの結果は、ブラウザの履歴に記録されます。この問題は、プライベートブラウズが有効になっているときに、このような訪問を記録しないことで解決されています。

CVE-ID

CVE-2012-0585:American Express の Eric Melville 氏

  • WebKit

対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、Mac OS X Lion v10.7.3、Mac OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 以降

影響:悪意を持って作成された Web サイトにアクセスすると、クロスサイトスクリプティング攻撃を受ける可能性がある。

説明:WebKit に複数のクロスサイトスクリプティングの問題があります。

CVE-ID

CVE-2011-3881:Sergey Glazunov 氏

CVE-2012-0586:Sergey Glazunov 氏

CVE-2012-0587:Sergey Glazunov 氏

CVE-2012-0588:Google Chrome Team の Jochen Eisinger 氏

CVE-2012-0589:polyvore.com の Alan Austin 氏

  • WebKit

対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、Mac OS X Lion v10.7.3、Mac OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 以降

影響:悪意を持って作成された Web サイトにアクセスすると、Cookie が漏洩する可能性がある。

説明:WebKit にクロスオリジンの問題があります。このため、Cookie をオリジンの外部に漏洩できる可能性があります。

CVE-ID

CVE-2011-3887:Sergey Glazunov 氏

  • WebKit

対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、Mac OS X Lion v10.7.3、Mac OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 以降

影響:悪意を持って作成された Web サイトにアクセスして、マウスでコンテンツをドラッグすると、クロスサイトスクリプティング攻撃を受ける可能性がある。

説明:WebKit にクロスオリジンの問題があります。このため、コンテンツをオリジンの外部にドラッグアンドドロップできる可能性があります。

CVE-ID

CVE-2012-0590:Google Chrome Security Team の Adam Barth 氏

  • WebKit

対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、Mac OS X Lion v10.7.3、Mac OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 以降

影響:細工を施された Web サイトを閲覧すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

説明:WebKit にメモリ破損の脆弱性が複数存在します。

CVE-ID

CVE-2011-2825:TippingPoint 社の Zero Day Initiative と協力する team509 の wushi 氏

CVE-2011-2833:Apple

CVE-2011-2846:Arthur Gerkis 氏、miaubiz 氏

CVE-2011-2847:miaubiz 氏、AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)

CVE-2011-2854:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)

CVE-2011-2855:Arthur Gerkis 氏、iDefense VCP に協力する team509 の wushi 氏

CVE-2011-2857:miaubiz 氏

CVE-2011-2860:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)

CVE-2011-2866:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)

CVE-2011-2867:Dirk Schulze 氏

CVE-2011-2868:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)

CVE-2011-2869:AddressSanitizer を使用する Google Chrome Security Team の Cris Neckar 氏

CVE-2011-2870:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)

CVE-2011-2871:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)

CVE-2011-2872:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno) および Cris Neckar 氏

CVE-2011-2873:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)

CVE-2011-2877:miaubiz 氏

CVE-2011-3885:miaubiz 氏

CVE-2011-3888:miaubiz 氏

CVE-2011-3897:TippingPoint 社の Zero Day Initiative と協力する pa_kt 氏

CVE-2011-3908:OUSPG の Aki Helin 氏

CVE-2011-3909:Google Chrome Security Team (scarybeasts) および Chu 氏

CVE-2011-3928:TippingPoint 社の Zero Day Initiative と協力する team509 の wushi 氏

CVE-2012-0591:miaubiz 氏、および Martin Barbella 氏

CVE-2012-0592:TippingPoint 社の Zero Day Initiative と協力する Alexander Gavrun 氏

CVE-2012-0593:Chromium development community の Lei Zhang 氏

CVE-2012-0594:Chromium development community の Adam Klein 氏

CVE-2012-0595:Apple

CVE-2012-0596:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)

CVE-2012-0597:miaubiz 氏

CVE-2012-0598:Sergey Glazunov 氏

CVE-2012-0599:SaveSources.com の Dmytro Gorbunov 氏

CVE-2012-0600:Marshall Greenblatt 氏、Google Chrome の Dharani Govindan 氏、miaubiz 氏、OUSPG の Aki Helin 氏

CVE-2012-0601:Apple

CVE-2012-0602:Apple

CVE-2012-0603:Apple

CVE-2012-0604:Apple

CVE-2012-0605:Apple

CVE-2012-0606:Apple

CVE-2012-0607:Apple

CVE-2012-0608:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)

CVE-2012-0609:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)

CVE-2012-0610:miaubiz 氏、AddressSanitizer を使用する Martin Barbella 氏

CVE-2012-0611:AddressSanitizer を使用する Martin Barbella 氏

CVE-2012-0612:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)

CVE-2012-0613:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)

CVE-2012-0614:miaubiz 氏、AddressSanitizer を使用する Martin Barbella 氏

CVE-2012-0615:AddressSanitizer を使用する Martin Barbella 氏

CVE-2012-0616:miaubiz 氏

CVE-2012-0617:AddressSanitizer を使用する Martin Barbella 氏

CVE-2012-0618:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)

CVE-2012-0619:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)

CVE-2012-0620:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)

CVE-2012-0621:AddressSanitizer を使用する Martin Barbella 氏

CVE-2012-0622:Google Chrome Security Team の Dave Levin 氏および Abhishek Arya 氏

CVE-2012-0623:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)

CVE-2012-0624:AddressSanitizer を使用する Martin Barbella 氏

CVE-2012-0625:Martin Barbella 氏

CVE-2012-0626:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)

CVE-2012-0627:Apple

CVE-2012-0628:Slawomir Blazek 氏、miaubiz 氏、AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)

CVE-2012-0629:Google Chrome Security Team の Abhishek Arya 氏 (Inferno)

CVE-2012-0630:Igalia の Sergio Villar Senin 氏

CVE-2012-0631:Google Chrome Security Team の Abhishek Arya 氏 (Inferno)

CVE-2012-0632:AddressSanitizer を使用する Google Chrome Security TeamCris Neckar 氏

CVE-2012-0633:Apple

CVE-2012-0635:Chromium development community の Julien Chaffraix 氏、AddressSanitizer を使用する Martin Barbella 氏

CVE-2012-0636:Google の Jeremy Apthorp 氏、AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)

CVE-2012-0637:Apple

CVE-2012-0638:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)

CVE-2012-0639:AddressSanitizer を使用する Google Chrome Security Team の Abhishek Arya 氏 (Inferno)

CVE-2012-0648:Apple

  • WebKit

対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、Mac OS X Lion v10.7.3、Mac OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 以降

影響:Safari で Cookie をブロックする設定になっていても、他社のサイトによって Cookie が設定される可能性がある。

説明:Cookie に関するポリシーの適用に問題があります。Safari の環境設定で「Cookie をブロック」がデフォルトの「知らないサイトや広告のみ」に設定されている場合、他社の Web サイトによって Cookie が設定される可能性があります。

CVE-ID

CVE-2012-0640:nshah 氏

  • WebKit

対象となるバージョン:Mac OS X v10.6.8、Mac OS X Server v10.6.8、Mac OS X Lion v10.7.3、Mac OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 以降

影響:HTTP 認証の認証情報が別のサイトに漏れてしまう可能性がある。

説明:HTTP 認証を使っているサイトが別のサイトにリダイレクトされた場合、認証情報がリダイレクト先のサイトに送信される可能性があります。

CVE-ID

CVE-2012-0647:匿名の研究者

Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。

公開日: