Om sikkerhetsinnholdet i Safari 6

Dette dokumentet beskriver sikkerhetsinnholdet i Safari 6.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen fra Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen fra Apple Product Security.

Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.

Hvis du vil ha mer informasjon om sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.

Safari 6.0

  • Safari

    Tilgjengelig for: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Virkning: Besøk på et skadelig websted kan føre til et angrep med skripting mellom websteder

    Beskrivelse: Det fantes et problem med skripting på tvers av nettsteder i håndteringen av strøm:// URLer. Denne oppdateringen fjerner håndtering av strøm:// URLer.

    CVE-ID

    CVE-2012-0678 : Masato Kinugawa

  • Safari

    Tilgjengelig for: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Virkning: Besøk på et skadelig nettsted kan sende filer fra brukerens system til en ekstern tjener

    Beskrivelse: Det var et tilgangskontrollproblem i håndteringen av strøm:// URLer. Denne oppdateringen fjerner håndtering av strøm:// URLer.

    CVE-ID

    CVE-2012-0679: Aaron Sigel hos vtty.com

  • Safari

    Tilgjengelig for: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Virkning: Passord kan autofullføres selv når nettstedet angir at autofullføring skal deaktiveres

    Beskrivelse: Passordelementer med autofullfør-attributtet satt til "av", ble autofullført. Denne oppdateringen løser problemet ved å forbedre håndteringen av autofullfør-attributtet.

    CVE-ID

    CVE-2012-0680 : Dan Poltawski fra Moodle

  • Safari-nedlastinger

    Tilgjengelig for: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Virkning: Åpning av skadelige filer på visse nettsteder kan føre til et angrep med skripting over flere steder

    Beskrivelse: Det var et problem med Safaris støtte for "attachment"-verdien for HTTP Content-Disposition-hodet. Dette hodet brukes av mange nettsteder til å betjene filer som ble lastet opp til stedet av en tredjepart, som vedlegg i web-baserte e-postprogrammer. Et eventuelt skript i filer med denne hodeverdien som ble behandlet, ville kjøre som om filen ble behandlet integrert, med full tilgang til andre ressurser på opphavstjeneren. Dette problemet løses ved å laste ned ressurser betjent med dette hodet, i stedet for å vise dem internt.

    CVE-ID

    CVE-2011-3426 : Mickey Shkatov fra laplinker.com, Kyle Osborn, Hidetake Jo fra Microsoft og Microsoft Vulnerability Research (MSVR)

  • WebKit

    Tilgjengelig for: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det er flere problemer med ødelagt hukommelse i WebKit. Problemene løses gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2011-3016: miaubiz

    CVE-2011-3021 : Arthur Gerkis

    CVE-2011-3027: miaubiz

    CVE-2011-3032 : Arthur Gerkis

    CVE-2011-3034 : Arthur Gerkis

    CVE-2011-3035 : wushi fra team509 som arbeider med iDefense VCP, Arthur Gerkis

    CVE-2011-3036: miaubiz

    CVE-2011-3037: miaubiz

    CVE-2011-3038: miaubiz

    CVE-2011-3039: miaubiz

    CVE-2011-3040: miaubiz

    CVE-2011-3041: miaubiz

    CVE-2011-3042: miaubiz

    CVE-2011-3043: miaubiz

    CVE-2011-3044 : Arthur Gerkis

    CVE-2011-3050: miaubiz

    CVE-2011-3053: miaubiz

    CVE-2011-3059 : Arthur Gerkis

    CVE-2011-3060: miaubiz

    CVE-2011-3064 : Atte Kettunen fra OUSPG

    CVE-2011-3068: miaubiz

    CVE-2011-3069: miaubiz

    CVE-2011-3071 : pa_kt som arbeider ved HPs Zero Day Initiative

    CVE-2011-3073 : Arthur Gerkis

    CVE-2011-3074: Slawomir Blazek

    CVE-2011-3075: miaubiz

    CVE-2011-3076: miaubiz

    CVE-2011-3078 : Martin Barbella i Google Chrome Security Team

    CVE-2011-3081: miaubiz

    CVE-2011-3086 : Arthur Gerkis

    CVE-2011-3089 : Skylined i Google Chrome Security Team, miaubiz

    CVE-2011-3090 : Arthur Gerkis

    CVE-2011-3913 : Arthur Gerkis

    CVE-2011-3924 : Arthur Gerkis

    CVE-2011-3926 : Arthur Gerkis

    CVE-2011-3958 : miaubiz

    CVE-2011-3966 : Aki Helin of OUSPG

    CVE-2011-3968 : Arthur Gerkis

    CVE-2011-3969 : Arthur Gerkis

    CVE-2011-3971 : Arthur Gerkis

    CVE-2012-0682 : Apple Product Security

    CVE-2012-0683 : Dave Mandelin fra Mozilla

    CVE-2012-1520 : Martin Barbella i Google Chrome Security Team med AddressSanitizer, Jose A. Vazquez fra spa-s3c.blogspot.com som arbeider med iDefense VCP

    CVE-2012-1521 : Skylined i Google Chrome Security Team, Jose A. Vazquez fra spa-s3c.blogspot.com som arbeider med iDefense VCP

    CVE-2012-3589 : Dave Mandelin fra Mozilla

    CVE-2012-3590 : Apple Product Security

    CVE-2012-3591 : Apple Product Security

    CVE-2012-3592 : Apple Product Security

    CVE-2012-3593 : Apple Product Security

    CVE-2012-3594: miaubiz

    CVE-2012-3595 : Martin Barbella i Google Chrome Security

    CVE-2012-3596 : Skylined i Google Chrome Security Team

    CVE-2012-3597 : Abhishek Arya i Google Chrome Security Team med AddressSanitizer

    CVE-2012-3599 : Abhishek Arya i Google Chrome Security Team med AddressSanitizer

    CVE-2012-3600 : David Levin i Chromium-utviklingsfellesskapet

    CVE-2012-3603 : Apple Product Security

    CVE-2012-3604 : Skylined i Google Chrome Security Team

    CVE-2012-3605 : Cris Neckar i Google Chrome Security team

    CVE-2012-3608 : Skylined i Google Chrome Security Team

    CVE-2012-3609 : Skylined i Google Chrome Security Team

    CVE-2012-3610 : Skylined i Google Chrome Security Team

    CVE-2012-3611 : Apple Product Security

    CVE-2012-3615 : Stephen Chenney i Chromium-utviklingsfellesskapet

    CVE-2012-3618 : Abhishek Arya i Google Chrome Security Team med AddressSanitizer

    CVE-2012-3620 : Abhishek Arya i Google Chrome Security Team

    CVE-2012-3625 : Skylined i Google Chrome Security Team

    CVE-2012-3626 : Apple Product Security

    CVE-2012-3627 : Skylined og Abhishek Arya i Google Chrome Security team

    CVE-2012-3628 : Apple Product Security

    CVE-2012-3629 : Abhishek Arya i Google Chrome Security Team med AddressSanitizer

    CVE-2012-3630 : Abhishek Arya i Google Chrome Security Team med AddressSanitizer

    CVE-2012-3631 : Abhishek Arya i Google Chrome Security Team med AddressSanitizer

    CVE-2012-3633 : Martin Barbella i Google Chrome Security Team med AddressSanitizer

    CVE-2012-3634 : Martin Barbella i Google Chrome Security Team med AddressSanitizer

    CVE-2012-3635 : Martin Barbella i Google Chrome Security Team med AddressSanitizer

    CVE-2012-3636 : Martin Barbella i Google Chrome Security Team med AddressSanitizer

    CVE-2012-3637 : Martin Barbella i Google Chrome Security Team med AddressSanitizer

    CVE-2012-3638 : Martin Barbella i Google Chrome Security Team med AddressSanitizer

    CVE-2012-3639 : Martin Barbella i Google Chrome Security Team med AddressSanitizer

    CVE-2012-3640: miaubiz

    CVE-2012-3641: Slawomir Blazek

    CVE-2012-3642: miaubiz

    CVE-2012-3644: miaubiz

    CVE-2012-3645 : Martin Barbella i Google Chrome Security Team med AddressSanitizer

    CVE-2012-3646 : Julien Chaffraix fra Chromium-utviklingsfellesskapet, Martin Barbella i Google Chrome Security Team med AddressSanitizer

    CVE-2012-3653 : Martin Barbella i Google Chrome Security Team med AddressSanitizer

    CVE-2012-3655 : Skylined i Google Chrome Security Team

    CVE-2012-3656 : Abhishek Arya i Google Chrome Security Team med AddressSanitizer

    CVE-2012-3661 : Apple Product Security

    CVE-2012-3663 : Skylined i Google Chrome Security Team

    CVE-2012-3664 : Thomas Sepez fra Chromium-utviklingsfellesskapet

    CVE-2012-3665 : Martin Barbella i Google Chrome Security Team med AddressSanitizer

    CVE-2012-3666: Apple

    CVE-2012-3667 : Trevor Squires i propaneapp.com

    CVE-2012-3668 : Apple Product Security

    CVE-2012-3669 : Apple Product Security

    CVE-2012-3670 : Abhishek Arya i Google Chrome Security Team med AddressSanitizer, Arthur Gerkis

    CVE-2012-3674 : Skylined i Google Chrome Security Team

    CVE-2012-3678 : Apple Product Security

    CVE-2012-3679 : Chris Leary fra Mozilla

    CVE-2012-3680 : Skylined i Google Chrome Security Team

    CVE-2012-3681: Apple

    CVE-2012-3682 : Adam Barth i Google Chrome Security Team

    CVE-2012-3683: wushi fra team509 som arbeider med iDefense VCP

    CVE-2012-3686 : Robin Cao fra Torch Mobile (Beijing)

  • WebKit

    Tilgjengelig for: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Virkning: Dra og slipp av merket tekst på en nettside kan føre til fremlegging av informasjon på tvers av nettsteder

    Beskrivelse: Det var et problem med opprinnelse på tvers av nettsteder i håndteringen av dra-og-slipp-hendelser. Dette problemet er løst gjennom bedre sporing av opphavssted.

    CVE-ID

    CVE-2012-3689 : David Bloom fra Cue

  • WebKit

    Tilgjengelig for: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Virkning: Dra og slipp av merket tekst på en nettside kan føre til at filer fra brukerens system blir sendt til en ekstern tjener

    Beskrivelse: Det var et tilgangskontrollproblem i håndteringen av dra-og-slipp-hendelser. Dette problemet er løst gjennom bedre sporing av opphavssted.

    CVE-ID

    CVE-2012-3690 : David Bloom fra Cue

  • WebKit

    Tilgjengelig for: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Virkning: Besøk på et skadelig nettsted kan føre til fremlegging av informasjon via skripting mellom nettsteder

    Beskrivelse: Det er et problem på tvers av opprinnelsessteder i håndteringen av CSS-egenskapsverdier. Dette problemet er løst gjennom bedre sporing av opphavssted.

    CVE-ID

    CVE-2012-3691: Apple

  • WebKit

    Tilgjengelig for: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Virkning: Et skadelig nettsted kan være i stand til å erstatte innholdet i en iframe på et annet nettsted

    Beskrivelse: Det er et problem på tvers av opprinnelsessteder i håndteringen av iframes i popupvinduer. Dette problemet er løst gjennom bedre sporing av opphavssted.

    CVE-ID

    CVE-2011-3067: Sergey Glazunov

  • WebKit

    Tilgjengelig for: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Virkning: Besøk på et skadelig nettsted kan føre til fremlegging av informasjon via skripting mellom nettsteder

    Beskrivelse: Det var et problem med opprinnelse på tvers av nettsteder i håndteringen av iframes og fragmentidentifikatorer. Dette problemet er løst gjennom bedre sporing av opphavssted.

    CVE-ID

    CVE-2012-2815 : Elie Bursztein, Baptiste Gourdin, Gustav Rydstedt og Dan Boneh fra Stanford University Security Laboratory

  • WebKit

    Tilgjengelig for: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Virkning: Tegn som ser like ut i en URL-adresse, kan brukes til å maskere et nettsted

    Beskrivelse: IDN-støtten (International Domain Name) og Unicode-fontene som er innebygd i Safari, kunne brukes til å opprette en URL-adresse som inneholder tegn som ser like ut. Disse kunne brukes på et skadelig nettsted for å sende brukeren til et forfalsket nettsted som visuelt ser ut til å være et legitimt domene. Dette problemet løses ved å supplere WebKits liste over kjente tegn som ser like ut. Tegn som ser like ut, gjengis i Punycode på adresselinjen.

    CVE-ID

    CVE-2012-3693 : Matt Cooley i Symantec

  • WebKit

    Tilgjengelig for: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Virkning: En fil som dras og slippes til Safari kan avsløre filsystembanen til filen på nettstedet

    Beskrivelse: Det var et problem med fremlegging av informasjon i håndteringen av filer som ble dratt. Problemet løses ved forbedret håndtering av filer som dras.

    CVE-ID

    CVE-2012-3694 : Daniel Cheng i Google, Aaron Sigel i vtty.com

  • WebKit

    Tilgjengelig for: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Virkning: Besøk på et skadelig websted kan føre til et angrep med skripting mellom websteder

    Beskrivelse: Det var et kanoniseringsproblem i håndteringen av URLer. Dette kan ha ført til et problem med skripting på tvers av nettsteder på nettsteder som bruker egenskapen location.href. Problemet løses ved forbedret kanonisering av URLer.

    CVE-ID

    CVE-2012-3695 : Masato Kinugawa

  • WebKit

    Tilgjengelig for: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Virkning: Besøk på et skadelig nettsted kan føre til splitting av HTTP-forespørsel

    Beskrivelse: Det var et problem med HTTP-hodeinjeksjon i håndtering av WebSockets. Problemet løses gjennom forbedret rensing av WebSockets URI.

    CVE-ID

    CVE-2012-3696 : David Belcher i BlackBerry Security Incident Response Team

  • WebKit

    Tilgjengelig for: OS X Lion v10.7.4, OS X Lion Server v10.7.4

    Virkning: Et skadelig nettsted kan være i stand til å forandre verdien på URL-linjen

    Beskrivelse: Det var et problem med tilstandsadministrasjon i håndteringen av økthistorikken. Navigering til et fragment på gjeldende side kan føre til at Safari viser feil informasjon på URL-linjen. Dette problemet løses ved forbedret sporing av økttilstand.

    CVE-ID

    CVE-2011-2845: Jordi Chancel

  • WebKit

    Tilgjengelig for: Lion v10.7.4, OS X Lion Server v10.7.4

    Virkning: En angriper kan være i stand til å slippe unna "sandbox" og få tilgang til alle filer som gjeldende bruker har tilgang til

    Beskrivelse: Det var et tilgangskontrollproblem i håndteringen av fil-URler. En angriper som oppnår utføring av vilkårlig kode i en Safari WebProcess, kan være i stand til å slippe unna "sandbox" og få tilgang til hvilken som helst fil som Safari-brukeren har tilgang til. Problemet løses ved forbedret håndtering av fil-URLer.

    CVE-ID

    CVE-2012-3697: Aaron Sigel hos vtty.com

  • WebKit

    Tilgjengelig for: Lion v10.7.4, OS X Lion Server v10.7.4

    Virkning: Besøk på et skadelig nettsted kan føre til fremlegging av innholdet i hukommelsen

    Beskrivelse: Det var et problem med ikke initialisert hukommelsestilgang i håndteringen av SVG-bilder. Problemet løses ved forbedret initialisering av hukommelsen.

    CVE-ID

    CVE-2012-3650: Apple

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: