Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.
Raadpleeg ‘Hoe gebruikt u de Apple Product Security PGP-sleutel’ voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Raadpleeg ‘Apple-beveiligingsupdates’ voor meer informatie over andere beveiligingsupdates.
Safari 6.0
-
Safari
Beschikbaar voor: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot een cross-site scripting-aanval
Beschrijving: er was een cross-site scripting-probleem bij de verwerking van feed:// URL’s. Deze update verwijdert de verwerking van feed:// URL’s.
CVE-ID
CVE-2012-0678: Masato Kinugawa
-
Safari
Beschikbaar voor: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het versturen van bestanden vanaf het systeem van de gebruiker naar een externe server
Beschrijving: er was een probleem met de toegangscontrole bij de verwerking van feed:// URL’s. Deze update verwijdert de verwerking van feed:// URL’s.
CVE-ID
CVE-2012-0679: Aaron Sigel van vtty.com
-
Safari
Beschikbaar voor: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impact: wachtwoorden worden mogelijk automatisch aangevuld zelfs wanneer de site opgeeft dat automatisch aanvullen uitgeschakeld moet zijn
Beschrijving: elementen voor de invoer van wachtwoorden met het kenmerk Automatisch aanvullen ingesteld op ‘uit’ werden automatisch aangevuld. Deze update verhelpt het probleem door een verbeterde verwerking van het kenmerk Automatisch aanvullen.
CVE-ID
CVE-2012-0680: Dan Poltawski van Moodle
-
Safari Downloads
Beschikbaar voor: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impact: het openen van kwaadwillig vervaardigde bestanden kan leiden tot een cross-site scriptingaanval
Beschrijving: Safari vertoonde een probleem met de ondersteuning voor de waarde ‘bijlage’ voor de HTTP-inhoud-beschikkingskop. Deze kop wordt gebruikt door veel websites om bestanden te voorzien die zijn geüpload naar de site door een derde, zoals bijlagen in webgebaseerde e-mailprogramma’s. Een script in bestanden die worden voorzien met deze kop zouden worden uitgevoerd alsof het bestand inline is voorzien, met volledige toegang tot andere bronnen op de bronserver. Dit probleem wordt verholpen door bronnen met deze kop te downloaden in plaats van ze inline weer te geven.
CVE-ID
CVE-2011-3426: Mickey Shkatov van laplinker.com, Kyle Osborn, Hidetake Jo van Microsoft en Microsoft Vulnerability Research (MSVR)
-
WebKit
Beschikbaar voor: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met geheugenbeschadiging in WebKit. Deze problemen worden verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2011-3016: miaubiz
CVE-2011-3021: Arthur Gerkis
CVE-2011-3027: miaubiz
CVE-2011-3032: Arthur Gerkis
CVE-2011-3034: Arthur Gerkis
CVE-2011-3035: wushi van team509 in samenwerking met iDefense VCP, Arthur Gerkis
CVE-2011-3036: miaubiz
CVE-2011-3037: miaubiz
CVE-2011-3038: miaubiz
CVE-2011-3039: miaubiz
CVE-2011-3040: miaubiz
CVE-2011-3041: miaubiz
CVE-2011-3042: miaubiz
CVE-2011-3043: miaubiz
CVE-2011-3044: Arthur Gerkis
CVE-2011-3050: miaubiz
CVE-2011-3053: miaubiz
CVE-2011-3059: Arthur Gerkis
CVE-2011-3060: miaubiz
CVE-2011-3064: Atte Kettunen van OUSPG
CVE-2011-3068: miaubiz
CVE-2011-3069: miaubiz
CVE-2011-3071: pa_kt in samenwerking met het Zero Day Initiative van HP
CVE-2011-3073: Arthur Gerkis
CVE-2011-3074: Slawomir Blazek
CVE-2011-3075: miaubiz
CVE-2011-3076: miaubiz
CVE-2011-3078: Martin Barbella van het Google Chrome Security Team
CVE-2011-3081: miaubiz
CVE-2011-3086: Arthur Gerkis
CVE-2011-3089: Skylined van het Google Chrome Security Team, miaubiz
CVE-2011-3090: Arthur Gerkis
CVE-2011-3913: Arthur Gerkis
CVE-2011-3924: Arthur Gerkis
CVE-2011-3926: Arthur Gerkis
CVE-2011-3958: miaubiz
CVE-2011-3966: Aki Helin van OUSPG
CVE-2011-3968: Arthur Gerkis
CVE-2011-3969: Arthur Gerkis
CVE-2011-3971: Arthur Gerkis
CVE-2012-0682: Apple Product Security
CVE-2012-0683: Dave Mandelin van Mozilla
CVE-2012-1520: Martin Barbella van het Google Chrome Security Team met behulp van AddressSanitizer, Jose A. Vazquez van spa-s3c.blogspot.com in samenwerking met iDefense VCP
CVE-2012-1521: Skylined van het Google Chrome Security Team, Jose A. Vazquez van spa-s3c.blogspot.com in samenwerking met iDefense VCP
CVE-2012-3589: Dave Mandelin of Mozilla
CVE-2012-3589: Dave Mandelin of Mozilla
CVE-2012-3591: Apple Product Security
CVE-2012-3592: Apple Product Security
CVE-2012-3593: Apple Product Security
CVE-2012-3594: miaubiz
CVE-2012-3595: Martin Barbella van Google Chrome Security
CVE-2012-3596: Skylined van het Google Chrome Security Team
CVE-2012-3597: Abhishek Arya van het Google Chrome Security Team met behulp van AddressSanitizer
CVE-2012-3599: Abhishek Arya van het Google Chrome Security Team met behulp van AddressSanitizer
CVE-2012-3600: David Levin van de Chromium development community
CVE-2012-3603: Apple Product Security
CVE-2012-3604: Skylined van het Google Chrome Security Team
CVE-2012-3605: Cris Neckar van het Google Chrome Security team
CVE-2012-3608: Skylined van het Google Chrome Security Team
CVE-2012-3609: Skylined van het Google Chrome Security Team
CVE-2012-3610: Skylined van het Google Chrome Security Team
CVE-2012-3611: Apple Product Security
CVE-2012-3615: Stephen Chenney van de Chromium development community
CVE-2012-3618: Abhishek Arya van het Google Chrome Security Team met behulp van AddressSanitizer
CVE-2012-3620: Abhishek Arya van het Google Chrome Security Team
CVE-2012-3625: Skylined van het Google Chrome Security Team
CVE-2012-3626: Apple Product Security
CVE-2012-3627: Skylined en Abhishek Arya van het Google Chrome Security team
CVE-2012-3628: Apple Product Security
CVE-2012-3629: Abhishek Arya van het Google Chrome Security Team met behulp van AddressSanitizer
CVE-2012-3630: Abhishek Arya van het Google Chrome Security Team met behulp van AddressSanitizer
CVE-2012-3631: Abhishek Arya van het Google Chrome Security Team met behulp van AddressSanitizer
CVE-2012-3633: Martin Barbella van het Google Chrome Security Team met behulp van AddressSanitizer
CVE-2012-3634: Martin Barbella van het Google Chrome Security Team met behulp van AddressSanitizer
CVE-2012-3635: Martin Barbella van het Google Chrome Security Team met behulp van AddressSanitizer
CVE-2012-3636: Martin Barbella van het Google Chrome Security Team met behulp van AddressSanitizer
CVE-2012-3637: Martin Barbella van het Google Chrome Security Team met behulp van AddressSanitizer
CVE-2012-3638: Martin Barbella van het Google Chrome Security Team met behulp van AddressSanitizer
CVE-2012-3639: Martin Barbella van het Google Chrome Security Team met behulp van AddressSanitizer
CVE-2012-3640: miaubiz
CVE-2012-3641: Slawomir Blazek
CVE-2012-3642: miaubiz
CVE-2012-3644: miaubiz
CVE-2012-3645: Martin Barbella van het Google Chrome Security Team met behulp van AddressSanitizer
CVE-2012-3646: Julien Chaffraix van de Chromium development community, Martin Barbella van het Google Chrome Security Team met behulp van AddressSanitizer
CVE-2012-3653: Martin Barbella van het Google Chrome Security Team met behulp van AddressSanitizer
CVE-2012-3655: Skylined van het Google Chrome Security Team
CVE-2012-3656: Abhishek Arya van het Google Chrome Security Team met behulp van AddressSanitizer
CVE-2012-3661: Apple Product Security
CVE-2012-3663: Skylined van het Google Chrome Security Team
CVE-2012-3664: Thomas Sepez van de Chromium development community
CVE-2012-3665: Martin Barbella van het Google Chrome Security Team met behulp van AddressSanitizer
CVE-2012-3666: Apple
CVE-2012-3667: Trevor Squires van propaneapp.com
CVE-2012-3668: Apple Product Security
CVE-2012-3669: Apple Product Security
CVE-2012-3670: Abhishek Arya van het Google Chrome Security Team met behulp van AddressSanitizer, Arthur Gerkis
CVE-2012-3674: Skylined van het Google Chrome Security Team
CVE-2012-3678: Apple Product Security
CVE-2012-3679: Chris Leary van Mozilla
CVE-2012-3680: Skylined van het Google Chrome Security Team
CVE-2012-3681: Apple
CVE-2012-3682: Adam Barth van het Google Chrome Security Team
CVE-2012-3683: wushi van team509 in samenwerking met iDefense VCP
CVE-2012-3686: Robin Cao van Torch Mobile (Beijing)
-
WebKit
Beschikbaar voor: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impact: het slepen van geselecteerde tekst op een webpagina kan leiden tot het vrijgeven van informatie tussen sites
Beschrijving: er was een ‘cross-origin’-probleem bij de verwerking van sleepacties. Dit probleem wordt verholpen door een verbeterde brontracering.
CVE-ID
CVE-2012-3689: David Bloom van Cue
-
WebKit
Beschikbaar voor: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impact: het slepen van geselecteerde tekst op een webpagina kan ervoor zorgen dat bestanden op het systeem van de gebruiker worden verstuurd naar een externe server
Beschrijving: er was een probleem met de toegangscontrole bij de verwerking van sleepacties. Dit probleem wordt verholpen door een verbeterde brontracering.
CVE-ID
CVE-2012-3690: David Bloom van Cue
-
WebKit
Beschikbaar voor: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het vrijgeven van informatie tussen sites
Beschrijving: er was een ‘cross-origin’-probleem bij de verwerking van waarden van CSS-eigenschappen. Dit probleem wordt verholpen door een verbeterde brontracering.
CVE-ID
CVE-2012-3691: Apple
-
WebKit
Beschikbaar voor: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impact: een kwaadaardige website kan de inhoud van een iframe op een andere site vervangen
Beschrijving: er was een ‘cross-origin’-probleem bij de verwerking van iframes in pop-upvensters. Dit probleem wordt verholpen door een verbeterde brontracering.
CVE-ID
CVE-2011-3067: Sergey Glazunov
-
WebKit
Beschikbaar voor: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het vrijgeven van informatie tussen sites
Beschrijving: er was een ‘cross-origin’-probleem bij de verwerking van iframes en fragmentidentifiers. Dit probleem wordt verholpen door een verbeterde brontracering.
CVE-ID
CVE-2012-2815: Elie Bursztein, Baptiste Gourdin, Gustav Rydstedt, en Dan Boneh van het Stanford University Security Laboratory
-
WebKit
Beschikbaar voor: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impact: gelijk uitziende tekens in een URL kunnen worden gebruikt om een website te maskeren
Beschrijving: de ondersteuning van IDN (International Domain Name) en Unicode-lettertypen die zijn geïntegreerd in Safari, konden worden gebruikt om een URL te maken die gelijk uitziende tekens bevat. Deze konden worden gebruikt op een kwaadwillige website om de gebruiker om te leiden naar een vervalste site die op het eerste gezicht een legitiem domein lijkt te zijn. Dit probleem wordt verholpen door de lijst met gelijk uitziende tekens van Webkit aan te vullen. Gelijk uitziende tekens worden in Punycode in de adresbalk weergegeven.
CVE-ID
CVE-2012-3693: Matt Cooley van Symantec
-
WebKit
Beschikbaar voor: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impact: een bestand slepen naar Safari onthult mogelijk het pad naar het bestand in het bestandssysteem aan de website
Beschrijving: er was een probleem met de vrijgave van informatie bij de verwerking van gesleepte bestanden. Dit probleem wordt verholpen met een verbeterde verwerking van gesleepte bestanden.
CVE-ID
CVE-2012-3694: Daniel Cheng van Google, Aaron Sigel van vtty.com
-
WebKit
Beschikbaar voor: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot een cross-site scripting-aanval
Beschrijving: er was een canonicalisatieprobleem bij de verwerking van URL’s. Dit kon leiden tot cross-site scripting op sites die de eigenschap location.href gebruiken. Dit probleem wordt verholpen met een verbeterde canonicalisatie van URL’s.
CVE-ID
CVE-2012-3695: Masato Kinugawa
-
WebKit
Beschikbaar voor: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het splitsen van het HTTP-verzoek
Beschrijving: er was een injectieprobleem met de HTTP-kop bij de verwerking van WebSockets. Dit probleem wordt verholpen met een verbeterde URI-opschoning in WebSockets.
CVE-ID
CVE-2012-3696: David Belcher van het BlackBerry Security Incident Response Team
-
WebKit
Beschikbaar voor: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impact: een kwaadwillig vervaardigde website kan de waarde in de URL-balk vervalsen
Beschrijving: er was een probleem met het statusbeheer bij de verwerking van de sessiegeschiedenis. Navigaties naar een fragment op de huidige pagina kunnen ervoor zorgen dat Safari onjuiste informatie in de URL-balk weergeeft. Dit probleem wordt verholpen met een verbeterde opvolging van de sessiestatus.
CVE-ID
CVE-2011-2845: Jordi Chancel
-
WebKit
Beschikbaar voor: OS X Lion v10.7.4, Lion Server v10.7.4
Impact: een aanvaller kan mogelijk de sandbox verlaten en elk bestand openen waartoe de huidige gebruiker toegang heeft
Beschrijving: er was een probleem met de toegangscontrole bij de verwerking van bestands-URL’s. Een aanvaller die willekeurige code kan uitvoeren in een Safari WebProcess kan mogelijk de sandbox omleiden en elk bestand openen waartoe de gebruiker, die Safari heeft geopend, toegang heeft. Dit probleem wordt verholpen met een verbeterde verwerking van bestands-URL’s.
CVE-ID
CVE-2012-3697: Aaron Sigel van vtty.com
-
WebKit
Beschikbaar voor: OS X Lion v10.7.4, Lion Server v10.7.4
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot de vrijgave van geheugeninhoud
Beschrijving: er was een probleem met een niet-geïnitialiseerde geheugentoegang bij de verwerking van SVG-afbeeldingen. Dit probleem wordt verholpen met een verbeterde geheugeninitialisatie.
CVE-ID
CVE-2012-3650: Apple