Over de beveiligingsinhoud van Safari 6

In dit document wordt de beveiligingsinhoud van Safari 6 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.

Raadpleeg ‘Hoe gebruikt u de Apple Product Security PGP-sleutel’ voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg ‘Apple-beveiligingsupdates’ voor meer informatie over andere beveiligingsupdates.

Safari 6.0

  • Safari

    Beschikbaar voor: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot een cross-site scripting-aanval

    Beschrijving: er was een cross-site scripting-probleem bij de verwerking van feed:// URL’s. Deze update verwijdert de verwerking van feed:// URL’s.

    CVE-ID

    CVE-2012-0678: Masato Kinugawa

  • Safari

    Beschikbaar voor: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het versturen van bestanden vanaf het systeem van de gebruiker naar een externe server

    Beschrijving: er was een probleem met de toegangscontrole bij de verwerking van feed:// URL’s. Deze update verwijdert de verwerking van feed:// URL’s.

    CVE-ID

    CVE-2012-0679: Aaron Sigel van vtty.com

  • Safari

    Beschikbaar voor: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impact: wachtwoorden worden mogelijk automatisch aangevuld zelfs wanneer de site opgeeft dat automatisch aanvullen uitgeschakeld moet zijn

    Beschrijving: elementen voor de invoer van wachtwoorden met het kenmerk Automatisch aanvullen ingesteld op ‘uit’ werden automatisch aangevuld. Deze update verhelpt het probleem door een verbeterde verwerking van het kenmerk Automatisch aanvullen.

    CVE-ID

    CVE-2012-0680: Dan Poltawski van Moodle

  • Safari Downloads

    Beschikbaar voor: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impact: het openen van kwaadwillig vervaardigde bestanden kan leiden tot een cross-site scriptingaanval

    Beschrijving: Safari vertoonde een probleem met de ondersteuning voor de waarde ‘bijlage’ voor de HTTP-inhoud-beschikkingskop. Deze kop wordt gebruikt door veel websites om bestanden te voorzien die zijn geüpload naar de site door een derde, zoals bijlagen in webgebaseerde e-mailprogramma’s. Een script in bestanden die worden voorzien met deze kop zouden worden uitgevoerd alsof het bestand inline is voorzien, met volledige toegang tot andere bronnen op de bronserver. Dit probleem wordt verholpen door bronnen met deze kop te downloaden in plaats van ze inline weer te geven.

    CVE-ID

    CVE-2011-3426: Mickey Shkatov van laplinker.com, Kyle Osborn, Hidetake Jo van Microsoft en Microsoft Vulnerability Research (MSVR)

  • WebKit

    Beschikbaar voor: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging in WebKit. Deze problemen worden verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2011-3016: miaubiz

    CVE-2011-3021: Arthur Gerkis

    CVE-2011-3027: miaubiz

    CVE-2011-3032: Arthur Gerkis

    CVE-2011-3034: Arthur Gerkis

    CVE-2011-3035: wushi van team509 in samenwerking met iDefense VCP, Arthur Gerkis

    CVE-2011-3036: miaubiz

    CVE-2011-3037: miaubiz

    CVE-2011-3038: miaubiz

    CVE-2011-3039: miaubiz

    CVE-2011-3040: miaubiz

    CVE-2011-3041: miaubiz

    CVE-2011-3042: miaubiz

    CVE-2011-3043: miaubiz

    CVE-2011-3044: Arthur Gerkis

    CVE-2011-3050: miaubiz

    CVE-2011-3053: miaubiz

    CVE-2011-3059: Arthur Gerkis

    CVE-2011-3060: miaubiz

    CVE-2011-3064: Atte Kettunen van OUSPG

    CVE-2011-3068: miaubiz

    CVE-2011-3069: miaubiz

    CVE-2011-3071: pa_kt in samenwerking met het Zero Day Initiative van HP

    CVE-2011-3073: Arthur Gerkis

    CVE-2011-3074: Slawomir Blazek

    CVE-2011-3075: miaubiz

    CVE-2011-3076: miaubiz

    CVE-2011-3078: Martin Barbella van het Google Chrome Security Team

    CVE-2011-3081: miaubiz

    CVE-2011-3086: Arthur Gerkis

    CVE-2011-3089: Skylined van het Google Chrome Security Team, miaubiz

    CVE-2011-3090: Arthur Gerkis

    CVE-2011-3913: Arthur Gerkis

    CVE-2011-3924: Arthur Gerkis

    CVE-2011-3926: Arthur Gerkis

    CVE-2011-3958: miaubiz

    CVE-2011-3966: Aki Helin van OUSPG

    CVE-2011-3968: Arthur Gerkis

    CVE-2011-3969: Arthur Gerkis

    CVE-2011-3971: Arthur Gerkis

    CVE-2012-0682: Apple Product Security

    CVE-2012-0683: Dave Mandelin van Mozilla

    CVE-2012-1520: Martin Barbella van het Google Chrome Security Team met behulp van AddressSanitizer, Jose A. Vazquez van spa-s3c.blogspot.com in samenwerking met iDefense VCP

    CVE-2012-1521: Skylined van het Google Chrome Security Team, Jose A. Vazquez van spa-s3c.blogspot.com in samenwerking met iDefense VCP

    CVE-2012-3589: Dave Mandelin of Mozilla

    CVE-2012-3589: Dave Mandelin of Mozilla

    CVE-2012-3591: Apple Product Security

    CVE-2012-3592: Apple Product Security

    CVE-2012-3593: Apple Product Security

    CVE-2012-3594: miaubiz

    CVE-2012-3595: Martin Barbella van Google Chrome Security

    CVE-2012-3596: Skylined van het Google Chrome Security Team

    CVE-2012-3597: Abhishek Arya van het Google Chrome Security Team met behulp van AddressSanitizer

    CVE-2012-3599: Abhishek Arya van het Google Chrome Security Team met behulp van AddressSanitizer

    CVE-2012-3600: David Levin van de Chromium development community

    CVE-2012-3603: Apple Product Security

    CVE-2012-3604: Skylined van het Google Chrome Security Team

    CVE-2012-3605: Cris Neckar van het Google Chrome Security team

    CVE-2012-3608: Skylined van het Google Chrome Security Team

    CVE-2012-3609: Skylined van het Google Chrome Security Team

    CVE-2012-3610: Skylined van het Google Chrome Security Team

    CVE-2012-3611: Apple Product Security

    CVE-2012-3615: Stephen Chenney van de Chromium development community

    CVE-2012-3618: Abhishek Arya van het Google Chrome Security Team met behulp van AddressSanitizer

    CVE-2012-3620: Abhishek Arya van het Google Chrome Security Team

    CVE-2012-3625: Skylined van het Google Chrome Security Team

    CVE-2012-3626: Apple Product Security

    CVE-2012-3627: Skylined en Abhishek Arya van het Google Chrome Security team

    CVE-2012-3628: Apple Product Security

    CVE-2012-3629: Abhishek Arya van het Google Chrome Security Team met behulp van AddressSanitizer

    CVE-2012-3630: Abhishek Arya van het Google Chrome Security Team met behulp van AddressSanitizer

    CVE-2012-3631: Abhishek Arya van het Google Chrome Security Team met behulp van AddressSanitizer

    CVE-2012-3633: Martin Barbella van het Google Chrome Security Team met behulp van AddressSanitizer

    CVE-2012-3634: Martin Barbella van het Google Chrome Security Team met behulp van AddressSanitizer

    CVE-2012-3635: Martin Barbella van het Google Chrome Security Team met behulp van AddressSanitizer

    CVE-2012-3636: Martin Barbella van het Google Chrome Security Team met behulp van AddressSanitizer

    CVE-2012-3637: Martin Barbella van het Google Chrome Security Team met behulp van AddressSanitizer

    CVE-2012-3638: Martin Barbella van het Google Chrome Security Team met behulp van AddressSanitizer

    CVE-2012-3639: Martin Barbella van het Google Chrome Security Team met behulp van AddressSanitizer

    CVE-2012-3640: miaubiz

    CVE-2012-3641: Slawomir Blazek

    CVE-2012-3642: miaubiz

    CVE-2012-3644: miaubiz

    CVE-2012-3645: Martin Barbella van het Google Chrome Security Team met behulp van AddressSanitizer

    CVE-2012-3646: Julien Chaffraix van de Chromium development community, Martin Barbella van het Google Chrome Security Team met behulp van AddressSanitizer

    CVE-2012-3653: Martin Barbella van het Google Chrome Security Team met behulp van AddressSanitizer

    CVE-2012-3655: Skylined van het Google Chrome Security Team

    CVE-2012-3656: Abhishek Arya van het Google Chrome Security Team met behulp van AddressSanitizer

    CVE-2012-3661: Apple Product Security

    CVE-2012-3663: Skylined van het Google Chrome Security Team

    CVE-2012-3664: Thomas Sepez van de Chromium development community

    CVE-2012-3665: Martin Barbella van het Google Chrome Security Team met behulp van AddressSanitizer

    CVE-2012-3666: Apple

    CVE-2012-3667: Trevor Squires van propaneapp.com

    CVE-2012-3668: Apple Product Security

    CVE-2012-3669: Apple Product Security

    CVE-2012-3670: Abhishek Arya van het Google Chrome Security Team met behulp van AddressSanitizer, Arthur Gerkis

    CVE-2012-3674: Skylined van het Google Chrome Security Team

    CVE-2012-3678: Apple Product Security

    CVE-2012-3679: Chris Leary van Mozilla

    CVE-2012-3680: Skylined van het Google Chrome Security Team

    CVE-2012-3681: Apple

    CVE-2012-3682: Adam Barth van het Google Chrome Security Team

    CVE-2012-3683: wushi van team509 in samenwerking met iDefense VCP

    CVE-2012-3686: Robin Cao van Torch Mobile (Beijing)

  • WebKit

    Beschikbaar voor: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impact: het slepen van geselecteerde tekst op een webpagina kan leiden tot het vrijgeven van informatie tussen sites

    Beschrijving: er was een ‘cross-origin’-probleem bij de verwerking van sleepacties. Dit probleem wordt verholpen door een verbeterde brontracering.

    CVE-ID

    CVE-2012-3689: David Bloom van Cue

  • WebKit

    Beschikbaar voor: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impact: het slepen van geselecteerde tekst op een webpagina kan ervoor zorgen dat bestanden op het systeem van de gebruiker worden verstuurd naar een externe server

    Beschrijving: er was een probleem met de toegangscontrole bij de verwerking van sleepacties. Dit probleem wordt verholpen door een verbeterde brontracering.

    CVE-ID

    CVE-2012-3690: David Bloom van Cue

  • WebKit

    Beschikbaar voor: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het vrijgeven van informatie tussen sites

    Beschrijving: er was een ‘cross-origin’-probleem bij de verwerking van waarden van CSS-eigenschappen. Dit probleem wordt verholpen door een verbeterde brontracering.

    CVE-ID

    CVE-2012-3691: Apple

  • WebKit

    Beschikbaar voor: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impact: een kwaadaardige website kan de inhoud van een iframe op een andere site vervangen

    Beschrijving: er was een ‘cross-origin’-probleem bij de verwerking van iframes in pop-upvensters. Dit probleem wordt verholpen door een verbeterde brontracering.

    CVE-ID

    CVE-2011-3067: Sergey Glazunov

  • WebKit

    Beschikbaar voor: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het vrijgeven van informatie tussen sites

    Beschrijving: er was een ‘cross-origin’-probleem bij de verwerking van iframes en fragmentidentifiers. Dit probleem wordt verholpen door een verbeterde brontracering.

    CVE-ID

    CVE-2012-2815: Elie Bursztein, Baptiste Gourdin, Gustav Rydstedt, en Dan Boneh van het Stanford University Security Laboratory

  • WebKit

    Beschikbaar voor: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impact: gelijk uitziende tekens in een URL kunnen worden gebruikt om een website te maskeren

    Beschrijving: de ondersteuning van IDN (International Domain Name) en Unicode-lettertypen die zijn geïntegreerd in Safari, konden worden gebruikt om een URL te maken die gelijk uitziende tekens bevat. Deze konden worden gebruikt op een kwaadwillige website om de gebruiker om te leiden naar een vervalste site die op het eerste gezicht een legitiem domein lijkt te zijn. Dit probleem wordt verholpen door de lijst met gelijk uitziende tekens van Webkit aan te vullen. Gelijk uitziende tekens worden in Punycode in de adresbalk weergegeven.

    CVE-ID

    CVE-2012-3693: Matt Cooley van Symantec

  • WebKit

    Beschikbaar voor: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impact: een bestand slepen naar Safari onthult mogelijk het pad naar het bestand in het bestandssysteem aan de website

    Beschrijving: er was een probleem met de vrijgave van informatie bij de verwerking van gesleepte bestanden. Dit probleem wordt verholpen met een verbeterde verwerking van gesleepte bestanden.

    CVE-ID

    CVE-2012-3694: Daniel Cheng van Google, Aaron Sigel van vtty.com

  • WebKit

    Beschikbaar voor: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot een cross-site scripting-aanval

    Beschrijving: er was een canonicalisatieprobleem bij de verwerking van URL’s. Dit kon leiden tot cross-site scripting op sites die de eigenschap location.href gebruiken. Dit probleem wordt verholpen met een verbeterde canonicalisatie van URL’s.

    CVE-ID

    CVE-2012-3695: Masato Kinugawa

  • WebKit

    Beschikbaar voor: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het splitsen van het HTTP-verzoek

    Beschrijving: er was een injectieprobleem met de HTTP-kop bij de verwerking van WebSockets. Dit probleem wordt verholpen met een verbeterde URI-opschoning in WebSockets.

    CVE-ID

    CVE-2012-3696: David Belcher van het BlackBerry Security Incident Response Team

  • WebKit

    Beschikbaar voor: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Impact: een kwaadwillig vervaardigde website kan de waarde in de URL-balk vervalsen

    Beschrijving: er was een probleem met het statusbeheer bij de verwerking van de sessiegeschiedenis. Navigaties naar een fragment op de huidige pagina kunnen ervoor zorgen dat Safari onjuiste informatie in de URL-balk weergeeft. Dit probleem wordt verholpen met een verbeterde opvolging van de sessiestatus.

    CVE-ID

    CVE-2011-2845: Jordi Chancel

  • WebKit

    Beschikbaar voor: OS X Lion v10.7.4, Lion Server v10.7.4

    Impact: een aanvaller kan mogelijk de sandbox verlaten en elk bestand openen waartoe de huidige gebruiker toegang heeft

    Beschrijving: er was een probleem met de toegangscontrole bij de verwerking van bestands-URL’s. Een aanvaller die willekeurige code kan uitvoeren in een Safari WebProcess kan mogelijk de sandbox omleiden en elk bestand openen waartoe de gebruiker, die Safari heeft geopend, toegang heeft. Dit probleem wordt verholpen met een verbeterde verwerking van bestands-URL’s.

    CVE-ID

    CVE-2012-3697: Aaron Sigel van vtty.com

  • WebKit

    Beschikbaar voor: OS X Lion v10.7.4, Lion Server v10.7.4

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot de vrijgave van geheugeninhoud

    Beschrijving: er was een probleem met een niet-geïnitialiseerde geheugentoegang bij de verwerking van SVG-afbeeldingen. Dit probleem wordt verholpen met een verbeterde geheugeninitialisatie.

    CVE-ID

    CVE-2012-3650: Apple

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: