Informacje o zawartości związanej z zabezpieczeniami w przeglądarce Safari 6

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w przeglądarce Safari 6.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

Safari 6.0

  • Safari

    Dostępne dla: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować atak XSS (cross-site scripting).

    Opis: w procedurze obsługi adresów URL typu feed:// występował błąd mogący powodować ataki XSS (cross-site scripting). To uaktualnienie usuwa obsługę adresów URL typu feed://.

    Identyfikator CVE

    CVE-2012-0678: Masato Kinugawa

  • Safari

    Dostępne dla: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny internetowej może spowodować wysłanie plików z komputera użytkownika na serwer zdalny.

    Opis: w procedurze obsługi adresów URL typu feed:// występował błąd kontroli dostępu. To uaktualnienie usuwa obsługę adresów URL typu feed://.

    Identyfikator CVE

    CVE-2012-0679: Aaron Sigel z firmy vtty.com

  • Safari

    Dostępne dla: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Zagrożenie: hasła mogą być automatycznie uzupełniane nawet wtedy, gdy w ustawieniach witryny funkcja automatycznego uzupełniania jest wyłączona.

    Opis: elementy wprowadzania haseł z wyłączonym atrybutem automatycznego uzupełniania były automatycznie uzupełniane. To uaktualnienie rozwiązuje problem przez poprawienie obsługi atrybutu automatycznego uzupełniania.

    Identyfikator CVE

    CVE-2012-0680: Dan Poltawski z organizacji Moodle

  • Safari — materiały do pobrania

    Dostępne dla: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Zagrożenie: otwarcie złośliwie spreparowanych plików w pewnych witrynach może spowodować atak XSS (cross-site scripting).

    Opis: w obsłudze wartości „attachment” dla nagłówka Content-Disposition protokołu HTTP przez przeglądarkę Safari występował błąd. Ten nagłówek jest używany przez wiele witryn do udostępniania plików, które zostały przesłane do witryny z innego źródła, takich jak załączniki w przypadku aplikacji internetowych do obsługi poczty e-mail. Każdy skrypt w plikach udostępnionych z tą wartością nagłówka zostałby uruchomiony jako plik udostępniony bezpośrednio w witrynie z pełnym dostępem do innych zasobów na serwerze źródłowym. Ten problem rozwiązano przez pobranie zasobów dostarczonych z tym nagłówkiem zamiast bezpośredniego ich wyświetlania.

    Identyfikator CVE

    CVE-2011-3426: Mickey Shkatov z serwisu laplinker.com, Kyle Osborn, Hidetake Jo z firmy Microsoft i działu Microsoft Vulnerability Research (MSVR)

  • WebKit

    Dostępne dla: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w oprogramowaniu WebKit występowało kilka błędów powodujących uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie obsługi pamięci.

    Identyfikator CVE

    CVE-2011-3016: użytkownik miaubiz

    CVE-2011-3021: Arthur Gerkis

    CVE-2011-3027: użytkownik miaubiz

    CVE-2011-3032: Arthur Gerkis

    CVE-2011-3034: Arthur Gerkis

    CVE-2011-3035: użytkownik wushi z grupy team509 pracujący w ramach programu iDefense VCP i Arthur Gerkis

    CVE-2011-3036: użytkownik miaubiz

    CVE-2011-3037: użytkownik miaubiz

    CVE-2011-3038: użytkownik miaubiz

    CVE-2011-3039: użytkownik miaubiz

    CVE-2011-3040: użytkownik miaubiz

    CVE-2011-3041: użytkownik miaubiz

    CVE-2011-3042: użytkownik miaubiz

    CVE-2011-3043: użytkownik miaubiz

    CVE-2011-3044: Arthur Gerkis

    CVE-2011-3050: użytkownik miaubiz

    CVE-2011-3053: użytkownik miaubiz

    CVE-2011-3059: Arthur Gerkis

    CVE-2011-3060: użytkownik miaubiz

    CVE-2011-3064: Atte Kettunen z firmy OUSPG

    CVE-2011-3068: użytkownik miaubiz

    CVE-2011-3069: użytkownik miaubiz

    CVE-2011-3071: użytkownik pa_kt pracujący w ramach programu Zero Day Initiative firmy HP

    CVE-2011-3073: Arthur Gerkis

    CVE-2011-3074: Sławomir Błażek

    CVE-2011-3075: użytkownik miaubiz

    CVE-2011-3076: użytkownik miaubiz

    CVE-2011-3078: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2011-3081: użytkownik miaubiz

    CVE-2011-3086: Arthur Gerkis

    CVE-2011-3089: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome i użytkownik miaubiz

    CVE-2011-3090: Arthur Gerkis

    CVE-2011-3913: Arthur Gerkis

    CVE-2011-3924: Arthur Gerkis

    CVE-2011-3926: Arthur Gerkis

    CVE-2011-3958: użytkownik miaubiz

    CVE-2011-3966: Aki Helin z firmy OUSPG

    CVE-2011-3968: Arthur Gerkis

    CVE-2011-3969: Arthur Gerkis

    CVE-2011-3971: Arthur Gerkis

    CVE-2012-0682: zespół do spraw bezpieczeństwa produktów firmy Apple

    CVE-2012-0683: Dave Mandelin z firmy Mozilla

    CVE-2012-1520: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer i Jose A. Vazquez z serwisu spa-s3c.blogspot.com pracujący w ramach programu iDefense VCP

    CVE-2012-1521: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome i Jose A. Vazquez z serwisu spa-s3c.blogspot.com pracujący w ramach programu iDefense VCP

    CVE-2012-3589: Dave Mandelin z firmy Mozilla

    CVE-2012-3590: zespół do spraw bezpieczeństwa produktów firmy Apple

    CVE-2012-3591: zespół do spraw bezpieczeństwa produktów firmy Apple

    CVE-2012-3592: zespół do spraw bezpieczeństwa produktów firmy Apple

    CVE-2012-3593: zespół do spraw bezpieczeństwa produktów firmy Apple

    CVE-2012-3594: użytkownik miaubiz

    CVE-2012-3595: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3596: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3597: Abhishek Arya z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer

    CVE-2012-3599: Abhishek Arya z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer

    CVE-2012-3600: David Levin ze społeczności rozwoju Chromium

    CVE-2012-3603: zespół do spraw bezpieczeństwa produktów firmy Apple

    CVE-2012-3604: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3605: Cris Neckar z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3608: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3609: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3610: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3611: zespół do spraw bezpieczeństwa produktów firmy Apple

    CVE-2012-3615: Stephen Chenney ze społeczności rozwoju Chromium

    CVE-2012-3618: Abhishek Arya z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer

    CVE-2012-3620: Abhishek Arya z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3625: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3626: zespół do spraw bezpieczeństwa produktów firmy Apple

    CVE-2012-3627: użytkownik SkyLined i Abhishek Arya z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3628: zespół do spraw bezpieczeństwa produktów firmy Apple

    CVE-2012-3629: Abhishek Arya z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer

    CVE-2012-3630: Abhishek Arya z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer

    CVE-2012-3631: Abhishek Arya z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer

    CVE-2012-3633: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer

    CVE-2012-3634: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer

    CVE-2012-3635: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer

    CVE-2012-3636: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer

    CVE-2012-3637: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer

    CVE-2012-3638: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer

    CVE-2012-3639: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer

    CVE-2012-3640: użytkownik miaubiz

    CVE-2012-3641: Sławomir Błażek

    CVE-2012-3642: użytkownik miaubiz

    CVE-2012-3644: użytkownik miaubiz

    CVE-2012-3645: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer

    CVE-2012-3646: Julien Chaffraix ze społeczności rozwoju Chromium, Martin Barbella z zespołu do spraw z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer

    CVE-2012-3653: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer

    CVE-2012-3655: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3656: Abhishek Arya z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer

    CVE-2012-3661: zespół do spraw bezpieczeństwa produktów firmy Apple

    CVE-2012-3663: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3664: Thomas Sepez ze społeczności rozwoju Chromium

    CVE-2012-3665: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer

    CVE-2012-3666: firma Apple

    CVE-2012-3667: Trevor Squires z serwisu propaneapp.com

    CVE-2012-3668: zespół do spraw bezpieczeństwa produktów firmy Apple

    CVE-2012-3669: zespół do spraw bezpieczeństwa produktów firmy Apple

    CVE-2012-3670: Abhishek Arya z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer i Arthur Gerkis

    CVE-2012-3674: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3678: zespół do spraw bezpieczeństwa produktów firmy Apple

    CVE-2012-3679: Chris Leary z firmy Mozilla

    CVE-2012-3680: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3681: firma Apple

    CVE-2012-3682: Adam Barth z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome

    CVE-2012-3683: użytkownik wushi z grupy team509 pracujący w ramach programu iDefense VCP

    CVE-2012-3686: Robin Cao z firmy Torch Mobile (Pekin)

  • WebKit

    Dostępne dla: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Zagrożenie: przeciągnięcie i upuszczenie zaznaczonego tekstu na stronie internetowej może doprowadzić do ujawnienia informacji z różnych witryn.

    Opis: w procedurze obsługi zdarzeń przeciągania i upuszczania występował błąd związany z obsługą różnych źródeł. Ten problem rozwiązano przez poprawienie procedury śledzenia źródeł.

    Identyfikator CVE

    CVE-2012-3689: David Bloom z organizacji Cue

  • WebKit

    Dostępne dla: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Zagrożenie: przeciągnięcie i upuszczenie zaznaczonego tekstu na stronie internetowej może spowodować wysłanie plików z komputera użytkownika na serwer zdalny.

    Opis: w procedurze obsługi zdarzeń przeciągania i upuszczania występował błąd kontroli dostępu. Rozwiązanie problemu polega na poprawieniu procedury śledzenia źródeł.

    Identyfikator CVE

    CVE-2012-3690: David Bloom z organizacji Cue

  • WebKit

    Dostępne dla: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do ujawnienia informacji z różnych witryn.

    Opis: w procedurze obsługi wartości właściwości arkuszy CSS występował błąd związany z obsługą różnych źródeł. Ten problem rozwiązano przez poprawienie procedury śledzenia źródeł.

    Identyfikator CVE

    CVE-2012-3691: firma Apple

  • WebKit

    Dostępne dla: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Zagrożenie: złośliwa witryna może zamienić zawartość elementu iframe w innej witrynie.

    Opis: w procedurze obsługi elementów iframe w oknach podręcznych występował błąd związany z obsługą różnych źródeł. Ten problem rozwiązano przez poprawienie procedury śledzenia źródeł.

    Identyfikator CVE

    CVE-2011-3067: Sergey Glazunov

  • WebKit

    Dostępne dla: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do ujawnienia informacji z różnych witryn.

    Opis: w procedurze obsługi elementów iframe i identyfikatorów fragmentów występował błąd związany z obsługą różnych źródeł. Ten problem rozwiązano przez poprawienie procedury śledzenia źródeł.

    Identyfikator CVE

    CVE-2012-2815: Elie Bursztein, Baptiste Gourdin, Gustav Rydstedt i Dan Boneh z laboratorium do spraw bezpieczeństwa uczelni Stanford University

  • WebKit

    Dostępne dla: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Zagrożenie: podobne znaki w adresie URL mogą zostać użyte do podszycia się pod witrynę.

    Opis: osadzona w przeglądarce Safari obsługa nazw IDN (International Domain Name) i czcionki Unicode mogła zostać użyte w celu utworzenia adresu URL, który zawiera podobne znaki. Przy użyciu tych znaków złośliwa witryna mogła skierować użytkownika do fałszywej witryny, której domena wygląda na prawdziwą. Ten problem rozwiązano przez dołączenie listy znanych podobnych znaków oprogramowania WebKit. Podobne znaki są renderowane w formacie Punycode na pasku adresu.

    Identyfikator CVE

    CVE-2012-3693: Matt Cooley z firmy Symantec

  • WebKit

    Dostępne dla: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Zagrożenie: przeciągnięcie i upuszczenie pliku w przeglądarce Safari może spowodować ujawnienie ścieżki systemu plików tego pliku w witrynie.

    Opis: w procedurze obsługi przeciągania plików występował błąd powodujący ujawnianie informacji. Ten problem rozwiązano przez poprawienie procedury obsługi przeciągania plików.

    Identyfikator CVE

    CVE-2012-3694: Daniel Cheng z firmy Google i Aaron Sigel z serwisu vtty.com

  • WebKit

    Dostępne dla: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować atak XSS (cross-site scripting).

    Opis: w procedurze obsługi adresów URL występował błąd sprowadzania do postaci kanonicznej. Mogło to powodować ataki XSS (cross-site scripting) w witrynach korzystających z właściwości location.href. Ten problem rozwiązano przez poprawienie procedury sprowadzania adresów URL do postaci kanonicznej.

    Identyfikator CVE

    CVE-2012-3695: Masato Kinugawa

  • WebKit

    Dostępne dla: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może powodować podział żądań HTTP.

    Opis: w procedurze obsługi oprogramowania WebSockets występował błąd umożliwiający wstawienie nagłówka HTTP. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania poprawności identyfikatora URI oprogramowania WebSockets.

    Identyfikator CVE

    CVE-2012-3696: David Belcher z zespołu reagowania na zdarzenia naruszające bezpieczeństwo urządzeń BlackBerry

  • WebKit

    Dostępne dla: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Zagrożenie: złośliwie spreparowana witryna internetowa może zastąpić wartość na pasku adresu URL.

    Opis: w procedurze obsługi historii sesji występował błąd zarządzania stanem. Przejście do fragmentu na bieżącej stronie może powodować wyświetlanie nieprawidłowych informacji na pasku adresu URL przeglądarki Safari. Ten problem rozwiązano przez poprawienie procedury śledzenia stanu sesji.

    Identyfikator CVE

    CVE-2011-2845: Jordi Chancel

  • WebKit

    Dostępne dla: OS X Lion 10.7.4, Lion Server 10.7.4

    Zagrożenie: osoba atakująca może opuścić piaskownicę i uzyskać dostęp do każdego pliku, do którego bieżący użytkownik ma dostęp.

    Opis: w procedurze obsługi adresów URL plików występował błąd kontroli dostępu. Osoba atakująca, która jest w stanie wykonać dowolny kod w procesie WebProcess przeglądarki Safari, może pominąć piaskownicę i uzyskać dostęp do każdego pliku, do którego użytkownik przeglądarki Safari ma dostęp. Ten problem rozwiązano przez poprawienie procedury obsługi adresów URL plików.

    Identyfikator CVE

    CVE-2012-3697: Aaron Sigel z firmy vtty.com

  • WebKit

    Dostępne dla: OS X Lion 10.7.4, Lion Server 10.7.4

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny internetowej może spowodować ujawnienie zawartości pamięci.

    Opis: w procedurze obsługi obrazów SVG występował błąd niezainicjowanego dostępu do pamięci. Ten problem rozwiązano przez poprawienie procedury inicjowania pamięci.

    Identyfikator CVE

    CVE-2012-3650: firma Apple

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: