Safari 6.0.5 のセキュリティコンテンツについて

Safari 6.0.5 のセキュリティコンテンツについて説明します。

Safari 6.0.5 は、システム環境設定の「ソフトウェアアップデート」パネル、または Apple の「ダウンロード」ページからダウンロードしてインストールできます。

Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては、こちらを参照してください。

Apple Product Security PGP キーについては、こちらの記事を参照してください。

CVE ID を使って脆弱性を調べることもできます。

その他のセキュリティアップデートについては、こちらの記事を参照してください。

Safari 6.0.5

• WebKit

  対象：OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8.3

  影響：悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

  説明：WebKit にメモリ破損の脆弱性が複数存在します。これらの問題は、メモリ処理を改善することで解決されました。

  CVE-ID

  CVE-2013-0879：OUSPG の Atte Kettunen 氏

  CVE-2013-0991：Chromium development community の Jay Civelli 氏

  CVE-2013-0992：Google Chrome Security Team (Martin Barbella 氏)

  CVE-2013-0993：Google Chrome Security Team (Inferno)

  CVE-2013-0994：Google の David German 氏

  CVE-2013-0995：Google Chrome Security Team (Inferno)

  CVE-2013-0996：Google Chrome Security Team (Inferno)

  CVE-2013-0997：HP 社の Zero Day Initiative に協力する Vitaliy Toropov 氏

  CVE-2013-0998：HP 社の Zero Day Initiative に協力する pa_kt 氏

  CVE-2013-0999：HP 社の Zero Day Initiative に協力する pa_kt 氏

  CVE-2013-1000：Google Security Team の Fermin J. Serna 氏

  CVE-2013-1001：Ryan Humenick 氏

  CVE-2013-1002：Sergey Glazunov 氏

  CVE-2013-1003：Google Chrome Security Team (Inferno)

  CVE-2013-1004：Google Chrome Security Team (Martin Barbella 氏)

  CVE-2013-1005：Google Chrome Security Team (Martin Barbella 氏)

  CVE-2013-1006：Google Chrome Security Team (Martin Barbella 氏)

  CVE-2013-1007：Google Chrome Security Team (Inferno)

  CVE-2013-1008：Sergey Glazunov 氏

  CVE-2013-1009：Apple

  CVE-2013-1010：miaubiz 氏

  CVE-2013-1011：Google Chrome Security Team (Inferno)

  CVE-2013-1023：Google Chrome Security Team (Inferno)

• WebKit

  対象：OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8.3

  影響：悪意を持って作成された Web サイトにアクセスすると、クロスサイトスクリプティング攻撃を受ける可能性がある。

  説明：iFrames の処理にクロスサイトスクリプティングの問題があります。この問題は、オリジンの追跡機能を改良することで解決されました。

  CVE-ID

  CVE-2013-1012：Facebook の Subodh Iyengar 氏および Erling Ellingsen 氏

• WebKit

  対象：OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8.3

  影響：悪意を持って作成されたHTML スニペットをコピー＆ペーストすると、クロスサイトスクリプティング攻撃を受ける可能性がある。

  説明：HTML ドキュメント内でコピー＆ペーストされたデータの処理に、クロスサイトスクリプティングの問題が存在します。この問題は、ペーストされたコンテンツの検証を強化することで解決されました。

  CVE-ID

  CVE-2013-0926：xys3c (xysec.com) の Aditya Gupta 氏、Subho Halder 氏、および Dev Kar 氏

• WebKit

  対象：OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8.3

  影響：悪意を持って作成されたリンクに従ってアクセスすると、移動先のサイトで予期しない動作が生じる場合がある。

  説明：クロスサイトスクリプティング攻撃を防ぐため、XSS 監視機能が URL を書き換えられることがあります。これにより、フォーム送信の動作に悪意のある改変が行われる可能性があります。この問題は、URL の検証を強化することで解決されています。

  CVE-ID

  CVE-2013-1013：Pentest Limited の Sam Power 氏