Om sikkerhetsinnholdet i Safari 5.1.4

Dette dokumentet beskriver sikkerhetsinnholdet i Safari 5.1.4.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen fra Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen fra Apple Product Security.

Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.

Hvis du vil ha mer informasjon om sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.

Safari 5.1.4

• Safari

Tilgjengelig for: Windows 7, Vista, XP SP2 eller nyere

Virkning: Tegn som ser like ut i en URL-adresse, kan brukes til å maskere et nettsted

Beskrivelse: IDN-støtten (International Domain Name) som er innebygd i Safari, kan brukes til å opprette en URL-adresse som inneholder tegn som ser like ut. Disse kan brukes på et skadelig nettsted for å sende brukeren til et forfalsket nettsted som visuelt ser ut til å være et legitimt domene. Dette problemet er løst gjennom en forbedret gyldighetskontroll av domenenavn. Dette problemet påvirker ikke OS X-systemer.

CVE-ID

CVE-2012-0584 : Matt Cooley i Symantec

• Safari

Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.3, OS X Lion Server v10.7.3, Windows 7, Vista, XP SP2 eller nyere

Virkning: Besøk på nettsider kan bli registrert i nettleserloggen selv om Privat nettlesing er aktivert

Beskrivelse: Privat nettlesing i Safari er laget for å hindre registrering av nettleserøkter. Sider som ble besøkt som følge av at et nettsted brukte JavaScript-metoden pushState eller replaceState, ble registrert i nettleserloggen selv om Privat nettlesing var aktivert. Dette problemet er løst ved ikke å registrere slike besøk når Privat nettlesing er aktivert.

CVE-ID

CVE-2012-0585 : Eric Melville i American Express

• WebKit

Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.3, OS X Lion Server v10.7.3, Windows 7, Vista, XP SP2 eller nyere

Virkning: Besøk på et skadelig nettsted kan føre til et angrep med skripting mellom nettsteder

Beskrivelse: Det var flere problemer med skripting mellom nettsteder i WebKit

CVE-ID

CVE-2011-3881: Sergey Glazunov

CVE-2012-0586: Sergey Glazunov

CVE-2012-0587: Sergey Glazunov

CVE-2012-0588 : Jochen Eisinger i Google Chrome Team

CVE-2012-0589 : Alan Austin i polyvore.com

• WebKit

Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.3, OS X Lion Server v10.7.3, Windows 7, Vista, XP SP2 eller nyere

Virkning: Besøk på et skadelig nettsted kan føre til avsløring av informasjonskapsler

Beskrivelse: Det fantes et problem med opphavssteder i WebKit, slik at informasjonskapsler kunne bli avslørt på feil sted.

CVE-ID

CVE-2011-3887: Sergey Glazunov

• WebKit

Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.3, OS X Lion Server v10.7.3, Windows 7, Vista, XP SP2 eller nyere

Virkning: Besøk på et skadelig nettsted og draing av innhold med musen kan føre til et skriptingangrep mellom nettsteder

Beskrivelse: Det fantes et problem med opphavssteder i WebKit, slik at innhold kan dras og slippes på tvers av nettsteder.

CVE-ID

CVE-2012-0590: Adam Barth i Google Chrome Security Team

• WebKit

Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.3, OS X Lion Server v10.7.3, Windows 7, Vista, XP SP2 eller nyere

Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

Beskrivelse: Det er flere problemer med ødelagt hukommelse i WebKit.

CVE-ID

CVE-2011-2825: wushi fra team509 som arbeider for TippingPoints Zero Day Initiative

CVE-2011-2833: Apple

CVE-2011-2846 : Arthur Gerkis, miaubiz

CVE-2011-2847 : miaubiz, Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2011-2854: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2011-2855 : Arthur Gerkis, wushi i team509 som arbeider for iDefense VCP

CVE-2011-2857: miaubiz

CVE-2011-2860: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2011-2866: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2011-2867 : Dirk Schulze

CVE-2011-2868: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2011-2869: Cris Neckar fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2011-2870: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2011-2871: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2011-2872 : Abhishek Arya (Inferno) og Cris Neckar fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2011-2873: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2011-2877: miaubiz

CVE-2011-3885: miaubiz

CVE-2011-3888: miaubiz

CVE-2011-3897 : pa_kt som arbeider for TippingPoints Zero Day Initiative

CVE-2011-3908: Aki Helin i OUSPG

CVE-2011-3909: Google Chrome Security Team (scarybeasts) og Chu

CVE-2011-3928: wushi fra team509 som arbeider for TippingPoints Zero Day Initiative

CVE-2012-0591: miaubiz og Martin Barbella

CVE-2012-0592: Alexander Gavrun som arbeider for TippingPoints Zero Day Initiative

CVE-2012-0593: Lei Zhang i Chromium development community

CVE-2012-0594: Adam Klein i Chromium development community

CVE-2012-0595: Apple

CVE-2012-0596: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2012-0597: miaubiz

CVE-2012-0598: Sergey Glazunov

CVE-2012-0599 : Dmytro Gorbunov i SaveSources.com

CVE-2012-0600 : Marshall Greenblatt, Dharani Govindan i Google Chrome, miaubiz, Aki Helin i OUSPG

CVE-2012-0601: Apple

CVE-2012-0602: Apple

CVE-2012-0603: Apple

CVE-2012-0604: Apple

CVE-2012-0605: Apple

CVE-2012-0606: Apple

CVE-2012-0607: Apple

CVE-2012-0608: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2012-0609: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2012-0610 : miaubiz, Martin Barbella ved bruk av AddressSanitizer

CVE-2012-0611 : Martin Barbella ved bruk av AddressSanitizer

CVE-2012-0612: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2012-0613: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2012-0614: miaubiz, Martin Barbella ved bruk av AddressSanitizer

CVE-2012-0615: Martin Barbella ved bruk av AddressSanitizer

CVE-2012-0616: miaubiz

CVE-2012-0617: Martin Barbella ved bruk av AddressSanitizer

CVE-2012-0618: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2012-0619: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2012-0620: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2012-0621: Martin Barbella ved bruk av AddressSanitizer

CVE-2012-0622: Dave Levin og Abhishek Arya fra Google Chrome Security Team

CVE-2012-0623: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2012-0624: Martin Barbella ved bruk av AddressSanitizer

CVE-2012-0625: Martin Barbella

CVE-2012-0626: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2012-0627: Apple

CVE-2012-0628: Slawomir Blazek, miaubiz, Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2012-0629: Abhishek Arya (Inferno) fra Google Chrome Security Team

CVE-2012-0630 : Sergio Villar Senin i Igalia

CVE-2012-0631: Abhishek Arya (Inferno) fra Google Chrome Security Team

CVE-2012-0632: Cris Neckar fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2012-0633: Apple

CVE-2012-0635: Julien Chaffraix i Chromium development community, Martin Barbella ved bruk av AddressSanitizer

CVE-2012-0636: Jeremy Apthorp i Google, Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2012-0637: Apple

CVE-2012-0638: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2012-0639: Abhishek Arya (Inferno) fra Google Chrome Security Team ved bruk av AddressSanitizer

CVE-2012-0648: Apple

• WebKit

Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.3, OS X Lion Server v10.7.3, Windows 7, Vista, XP SP2 eller nyere

Virkning: Informasjonskapsler kan bli angitt av tredjeparts nettsteder selv om Safari er konfigurert for å blokkere dem

Beskrivelse: Det var et problem i håndhevingen av policyen for informasjonskapsler. Tredjeparts nettsteder kunne angi informasjonskapsler hvis valget «Blokker informasjonskapsler» var satt til standardinnstillingen «Fra tredjeparter og annonsører».

CVE-ID

CVE-2012-0640 : nshah

• WebKit

Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.3, OS X Lion Server v10.7.3, Windows 7, Vista, XP SP2 eller nyere

Virkning: HTTP-autentiseringsinformasjon kan ved en feiltakelse bli avslørt for et annet nettsted

Beskrivelse: Hvis et nettsted bruker HTTP-autentiseringsinformasjon og omdirigeres til et annet nettsted, kan autentiseringsinformasjonen bli sendt til det andre nettstedet.

CVE-ID

CVE-2012-0647: en anonym forsker