Om sikkerhetsinnholdet i Safari 6

Dette dokumentet beskriver sikkerhetsinnholdet i Safari 6.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen fra Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen fra Apple Product Security.

Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.

Hvis du vil ha mer informasjon om sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.

Safari 6.0

Safari
Tilgjengelig for: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Virkning: Besøk på et skadelig websted kan føre til et angrep med skripting mellom websteder
Beskrivelse: Det fantes et problem med skripting på tvers av nettsteder i håndteringen av strøm:// URLer. Denne oppdateringen fjerner håndtering av strøm:// URLer.
CVE-ID
CVE-2012-0678 : Masato Kinugawa

Safari
Tilgjengelig for: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Virkning: Besøk på et skadelig nettsted kan sende filer fra brukerens system til en ekstern tjener
Beskrivelse: Det var et tilgangskontrollproblem i håndteringen av strøm:// URLer. Denne oppdateringen fjerner håndtering av strøm:// URLer.
CVE-ID
CVE-2012-0679: Aaron Sigel hos vtty.com

Safari
Tilgjengelig for: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Virkning: Passord kan autofullføres selv når nettstedet angir at autofullføring skal deaktiveres
Beskrivelse: Passordelementer med autofullfør-attributtet satt til "av", ble autofullført. Denne oppdateringen løser problemet ved å forbedre håndteringen av autofullfør-attributtet.
CVE-ID
CVE-2012-0680 : Dan Poltawski fra Moodle

Safari-nedlastinger
Tilgjengelig for: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Virkning: Åpning av skadelige filer på visse nettsteder kan føre til et angrep med skripting over flere steder
Beskrivelse: Det var et problem med Safaris støtte for "attachment"-verdien for HTTP Content-Disposition-hodet. Dette hodet brukes av mange nettsteder til å betjene filer som ble lastet opp til stedet av en tredjepart, som vedlegg i web-baserte e-postprogrammer. Et eventuelt skript i filer med denne hodeverdien som ble behandlet, ville kjøre som om filen ble behandlet integrert, med full tilgang til andre ressurser på opphavstjeneren. Dette problemet løses ved å laste ned ressurser betjent med dette hodet, i stedet for å vise dem internt.
CVE-ID
CVE-2011-3426 : Mickey Shkatov fra laplinker.com, Kyle Osborn, Hidetake Jo fra Microsoft og Microsoft Vulnerability Research (MSVR)

WebKit
Tilgjengelig for: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det er flere problemer med ødelagt hukommelse i WebKit. Problemene løses gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2011-3016: miaubiz
CVE-2011-3021 : Arthur Gerkis
CVE-2011-3027: miaubiz
CVE-2011-3032 : Arthur Gerkis
CVE-2011-3034 : Arthur Gerkis
CVE-2011-3035 : wushi fra team509 som arbeider med iDefense VCP, Arthur Gerkis
CVE-2011-3036: miaubiz
CVE-2011-3037: miaubiz
CVE-2011-3038: miaubiz
CVE-2011-3039: miaubiz
CVE-2011-3040: miaubiz
CVE-2011-3041: miaubiz
CVE-2011-3042: miaubiz
CVE-2011-3043: miaubiz
CVE-2011-3044 : Arthur Gerkis
CVE-2011-3050: miaubiz
CVE-2011-3053: miaubiz
CVE-2011-3059 : Arthur Gerkis
CVE-2011-3060: miaubiz
CVE-2011-3064 : Atte Kettunen fra OUSPG
CVE-2011-3068: miaubiz
CVE-2011-3069: miaubiz
CVE-2011-3071 : pa_kt som arbeider ved HPs Zero Day Initiative
CVE-2011-3073 : Arthur Gerkis
CVE-2011-3074: Slawomir Blazek
CVE-2011-3075: miaubiz
CVE-2011-3076: miaubiz
CVE-2011-3078 : Martin Barbella i Google Chrome Security Team
CVE-2011-3081: miaubiz
CVE-2011-3086 : Arthur Gerkis
CVE-2011-3089 : Skylined i Google Chrome Security Team, miaubiz
CVE-2011-3090 : Arthur Gerkis
CVE-2011-3913 : Arthur Gerkis
CVE-2011-3924 : Arthur Gerkis
CVE-2011-3926 : Arthur Gerkis
CVE-2011-3958 : miaubiz
CVE-2011-3966 : Aki Helin of OUSPG
CVE-2011-3968 : Arthur Gerkis
CVE-2011-3969 : Arthur Gerkis
CVE-2011-3971 : Arthur Gerkis
CVE-2012-0682 : Apple Product Security
CVE-2012-0683 : Dave Mandelin fra Mozilla
CVE-2012-1520 : Martin Barbella i Google Chrome Security Team med AddressSanitizer, Jose A. Vazquez fra spa-s3c.blogspot.com som arbeider med iDefense VCP
CVE-2012-1521 : Skylined i Google Chrome Security Team, Jose A. Vazquez fra spa-s3c.blogspot.com som arbeider med iDefense VCP
CVE-2012-3589 : Dave Mandelin fra Mozilla
CVE-2012-3590 : Apple Product Security
CVE-2012-3591 : Apple Product Security
CVE-2012-3592 : Apple Product Security
CVE-2012-3593 : Apple Product Security
CVE-2012-3594: miaubiz
CVE-2012-3595 : Martin Barbella i Google Chrome Security
CVE-2012-3596 : Skylined i Google Chrome Security Team
CVE-2012-3597 : Abhishek Arya i Google Chrome Security Team med AddressSanitizer
CVE-2012-3599 : Abhishek Arya i Google Chrome Security Team med AddressSanitizer
CVE-2012-3600 : David Levin i Chromium-utviklingsfellesskapet
CVE-2012-3603 : Apple Product Security
CVE-2012-3604 : Skylined i Google Chrome Security Team
CVE-2012-3605 : Cris Neckar i Google Chrome Security team
CVE-2012-3608 : Skylined i Google Chrome Security Team
CVE-2012-3609 : Skylined i Google Chrome Security Team
CVE-2012-3610 : Skylined i Google Chrome Security Team
CVE-2012-3611 : Apple Product Security
CVE-2012-3615 : Stephen Chenney i Chromium-utviklingsfellesskapet
CVE-2012-3618 : Abhishek Arya i Google Chrome Security Team med AddressSanitizer
CVE-2012-3620 : Abhishek Arya i Google Chrome Security Team
CVE-2012-3625 : Skylined i Google Chrome Security Team
CVE-2012-3626 : Apple Product Security
CVE-2012-3627 : Skylined og Abhishek Arya i Google Chrome Security team
CVE-2012-3628 : Apple Product Security
CVE-2012-3629 : Abhishek Arya i Google Chrome Security Team med AddressSanitizer
CVE-2012-3630 : Abhishek Arya i Google Chrome Security Team med AddressSanitizer
CVE-2012-3631 : Abhishek Arya i Google Chrome Security Team med AddressSanitizer
CVE-2012-3633 : Martin Barbella i Google Chrome Security Team med AddressSanitizer
CVE-2012-3634 : Martin Barbella i Google Chrome Security Team med AddressSanitizer
CVE-2012-3635 : Martin Barbella i Google Chrome Security Team med AddressSanitizer
CVE-2012-3636 : Martin Barbella i Google Chrome Security Team med AddressSanitizer
CVE-2012-3637 : Martin Barbella i Google Chrome Security Team med AddressSanitizer
CVE-2012-3638 : Martin Barbella i Google Chrome Security Team med AddressSanitizer
CVE-2012-3639 : Martin Barbella i Google Chrome Security Team med AddressSanitizer
CVE-2012-3640: miaubiz
CVE-2012-3641: Slawomir Blazek
CVE-2012-3642: miaubiz
CVE-2012-3644: miaubiz
CVE-2012-3645 : Martin Barbella i Google Chrome Security Team med AddressSanitizer
CVE-2012-3646 : Julien Chaffraix fra Chromium-utviklingsfellesskapet, Martin Barbella i Google Chrome Security Team med AddressSanitizer
CVE-2012-3653 : Martin Barbella i Google Chrome Security Team med AddressSanitizer
CVE-2012-3655 : Skylined i Google Chrome Security Team
CVE-2012-3656 : Abhishek Arya i Google Chrome Security Team med AddressSanitizer
CVE-2012-3661 : Apple Product Security
CVE-2012-3663 : Skylined i Google Chrome Security Team
CVE-2012-3664 : Thomas Sepez fra Chromium-utviklingsfellesskapet
CVE-2012-3665 : Martin Barbella i Google Chrome Security Team med AddressSanitizer
CVE-2012-3666: Apple
CVE-2012-3667 : Trevor Squires i propaneapp.com
CVE-2012-3668 : Apple Product Security
CVE-2012-3669 : Apple Product Security
CVE-2012-3670 : Abhishek Arya i Google Chrome Security Team med AddressSanitizer, Arthur Gerkis
CVE-2012-3674 : Skylined i Google Chrome Security Team
CVE-2012-3678 : Apple Product Security
CVE-2012-3679 : Chris Leary fra Mozilla
CVE-2012-3680 : Skylined i Google Chrome Security Team
CVE-2012-3681: Apple
CVE-2012-3682 : Adam Barth i Google Chrome Security Team
CVE-2012-3683: wushi fra team509 som arbeider med iDefense VCP
CVE-2012-3686 : Robin Cao fra Torch Mobile (Beijing)

WebKit
Tilgjengelig for: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Virkning: Dra og slipp av merket tekst på en nettside kan føre til fremlegging av informasjon på tvers av nettsteder
Beskrivelse: Det var et problem med opprinnelse på tvers av nettsteder i håndteringen av dra-og-slipp-hendelser. Dette problemet er løst gjennom bedre sporing av opphavssted.
CVE-ID
CVE-2012-3689 : David Bloom fra Cue

WebKit
Tilgjengelig for: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Virkning: Dra og slipp av merket tekst på en nettside kan føre til at filer fra brukerens system blir sendt til en ekstern tjener
Beskrivelse: Det var et tilgangskontrollproblem i håndteringen av dra-og-slipp-hendelser. Dette problemet er løst gjennom bedre sporing av opphavssted.
CVE-ID
CVE-2012-3690 : David Bloom fra Cue

WebKit
Tilgjengelig for: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Virkning: Besøk på et skadelig nettsted kan føre til fremlegging av informasjon via skripting mellom nettsteder
Beskrivelse: Det er et problem på tvers av opprinnelsessteder i håndteringen av CSS-egenskapsverdier. Dette problemet er løst gjennom bedre sporing av opphavssted.
CVE-ID
CVE-2012-3691: Apple

WebKit
Tilgjengelig for: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Virkning: Et skadelig nettsted kan være i stand til å erstatte innholdet i en iframe på et annet nettsted
Beskrivelse: Det er et problem på tvers av opprinnelsessteder i håndteringen av iframes i popupvinduer. Dette problemet er løst gjennom bedre sporing av opphavssted.
CVE-ID
CVE-2011-3067: Sergey Glazunov

WebKit
Tilgjengelig for: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Virkning: Besøk på et skadelig nettsted kan føre til fremlegging av informasjon via skripting mellom nettsteder
Beskrivelse: Det var et problem med opprinnelse på tvers av nettsteder i håndteringen av iframes og fragmentidentifikatorer. Dette problemet er løst gjennom bedre sporing av opphavssted.
CVE-ID
CVE-2012-2815 : Elie Bursztein, Baptiste Gourdin, Gustav Rydstedt og Dan Boneh fra Stanford University Security Laboratory

WebKit
Tilgjengelig for: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Virkning: Tegn som ser like ut i en URL-adresse, kan brukes til å maskere et nettsted
Beskrivelse: IDN-støtten (International Domain Name) og Unicode-fontene som er innebygd i Safari, kunne brukes til å opprette en URL-adresse som inneholder tegn som ser like ut. Disse kunne brukes på et skadelig nettsted for å sende brukeren til et forfalsket nettsted som visuelt ser ut til å være et legitimt domene. Dette problemet løses ved å supplere WebKits liste over kjente tegn som ser like ut. Tegn som ser like ut, gjengis i Punycode på adresselinjen.
CVE-ID
CVE-2012-3693 : Matt Cooley i Symantec

WebKit
Tilgjengelig for: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Virkning: En fil som dras og slippes til Safari kan avsløre filsystembanen til filen på nettstedet
Beskrivelse: Det var et problem med fremlegging av informasjon i håndteringen av filer som ble dratt. Problemet løses ved forbedret håndtering av filer som dras.
CVE-ID
CVE-2012-3694 : Daniel Cheng i Google, Aaron Sigel i vtty.com

WebKit
Tilgjengelig for: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Virkning: Besøk på et skadelig websted kan føre til et angrep med skripting mellom websteder
Beskrivelse: Det var et kanoniseringsproblem i håndteringen av URLer. Dette kan ha ført til et problem med skripting på tvers av nettsteder på nettsteder som bruker egenskapen location.href. Problemet løses ved forbedret kanonisering av URLer.
CVE-ID
CVE-2012-3695 : Masato Kinugawa

WebKit
Tilgjengelig for: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Virkning: Besøk på et skadelig nettsted kan føre til splitting av HTTP-forespørsel
Beskrivelse: Det var et problem med HTTP-hodeinjeksjon i håndtering av WebSockets. Problemet løses gjennom forbedret rensing av WebSockets URI.
CVE-ID
CVE-2012-3696 : David Belcher i BlackBerry Security Incident Response Team

WebKit
Tilgjengelig for: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Virkning: Et skadelig nettsted kan være i stand til å forandre verdien på URL-linjen
Beskrivelse: Det var et problem med tilstandsadministrasjon i håndteringen av økthistorikken. Navigering til et fragment på gjeldende side kan føre til at Safari viser feil informasjon på URL-linjen. Dette problemet løses ved forbedret sporing av økttilstand.
CVE-ID
CVE-2011-2845: Jordi Chancel

WebKit
Tilgjengelig for: Lion v10.7.4, OS X Lion Server v10.7.4
Virkning: En angriper kan være i stand til å slippe unna "sandbox" og få tilgang til alle filer som gjeldende bruker har tilgang til
Beskrivelse: Det var et tilgangskontrollproblem i håndteringen av fil-URler. En angriper som oppnår utføring av vilkårlig kode i en Safari WebProcess, kan være i stand til å slippe unna "sandbox" og få tilgang til hvilken som helst fil som Safari-brukeren har tilgang til. Problemet løses ved forbedret håndtering av fil-URLer.
CVE-ID
CVE-2012-3697: Aaron Sigel hos vtty.com

WebKit
Tilgjengelig for: Lion v10.7.4, OS X Lion Server v10.7.4
Virkning: Besøk på et skadelig nettsted kan føre til fremlegging av innholdet i hukommelsen
Beskrivelse: Det var et problem med ikke initialisert hukommelsestilgang i håndteringen av SVG-bilder. Problemet løses ved forbedret initialisering av hukommelsen.
CVE-ID
CVE-2012-3650: Apple

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: 03. november 2023