Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w przeglądarce Safari 6.0.1.
W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
Safari 6.0.1
Uwaga: w przypadku systemu OS X Mountain Lion przeglądarka Safari 6.0.1 jest dołączona do uaktualnienia systemu OS X Mountain Lion do wersji 10.8.2.
-
Safari
Dostępne dla: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion w wersjach 10.8 i 10.8.1
Zagrożenie: otwarcie złośliwie spreparowanego, pobranego dokumentu HTML może spowodować ujawnienie zawartości pliku lokalnego.
Opis: w systemie OS X Mountain Lion pliki HTML zostały usunięte z listy niebezpiecznych typów plików. Poddane kwarantannie dokumenty HTML są otwierane w trybie bezpiecznym, który uniemożliwia dostęp do innych zasobów lokalnych lub zdalnych. Błąd logiczny w obsłudze atrybutu kwarantanny przez przeglądarkę Safari powodował, że tryb bezpieczny nie był wywoływany dla plików poddanych kwarantannie. Ten problem rozwiązano przez zapewnienie prawidłowego wykrywania obecności atrybutu kwarantanny.
Identyfikator CVE
CVE-2012-3713: Aaron Sigel z serwisu vtty.com, Masahiro Yamada
-
Safari
Dostępne dla: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion w wersjach 10.8 i 10.8.1
Zagrożenie: użycie funkcji automatycznego wypełniania w złośliwie spreparowanej witrynie internetowej może spowodować ujawnienie danych kontaktowych.
Opis: w procedurze obsługi funkcji automatycznego wypełniania występuje rzadko pojawiający się błąd. Użycie funkcji automatycznego wypełniania formularzy w złośliwie spreparowanej witrynie internetowej może spowodować ujawnienie informacji z karty „Ja” w Książce adresowej, które nie zostały umieszczone w nakładce automatycznego wypełniania. Ten problem rozwiązano przez ograniczenie funkcji automatycznego wypełniania do pól zawartych w nakładce.
Identyfikator CVE
CVE-2012-3714: Jonathan Hogervorst z firmy Buzzera
-
Safari
Dostępne dla: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion w wersjach 10.8 i 10.8.1
Zagrożenie: po dokonaniu edycji adresu URL typu HTTPS na pasku adresu żądanie może zostać nieoczekiwanie przesłane przy użyciu protokołu HTTP.
Opis: procedury obsługi adresów URL typu HTTPS na pasku adresu zawierają błąd logiczny. Jeśli dokonano edycji fragmentu adresu przez wklejenie tekstu, żądanie może zostać nieoczekiwanie przesłane przy użyciu protokołu HTTP. Ten problem rozwiązano przez poprawienie procedur obsługi adresów URL typu HTTPS.
Identyfikator CVE
CVE-2012-3715: Aaron Rhoads z firmy East Watch Services LLC, Pepi Zawodsky
-
WebKit
Dostępne dla: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion w wersjach 10.8 i 10.8.1
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w oprogramowaniu WebKit występowało kilka błędów powodujących uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie obsługi pamięci.
Identyfikator CVE
CVE-2011-3105: użytkownik miaubiz
CVE-2012-2817: użytkownik miaubiz
CVE-2012-2818: użytkownik miaubiz
CVE-2012-2829: użytkownik miaubiz
CVE-2012-2831: użytkownik miaubiz
CVE-2012-2842: użytkownik miaubiz
CVE-2012-2843: użytkownik miaubiz
CVE-2012-3598: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-3601: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome przy użyciu narzędzia AddressSanitizer
CVE-2012-3602: użytkownik miaubiz
CVE-2012-3606: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3607: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3612: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3613: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3614: Yong Li z firmy Research In Motion, Inc.
CVE-2012-3616: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3617: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-3621: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3622: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3623: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3624: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3632: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3643: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3647: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3648: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3649: Dominic Cooney z firmy Google i Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3651: Abhishek Arya i Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3652: Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3654: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3657: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3658: firma Apple
CVE-2012-3659: Mario Gomes z blogu netfuzzer.blogspot.com, Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3660: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3671: Skylined i Martin Barbella z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3672: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3673: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3675: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3676: Julien Chaffraix ze społeczności rozwoju systemu Chromium
CVE-2012-3677: firma Apple
CVE-2012-3684: użytkownik kuzzcc
CVE-2012-3685: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-3687: użytkownik kuzzcc
CVE-2012-3688: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3692: Skylined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome, zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-3699: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3700: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-3701: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3702: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3703: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-3704: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3705: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3706: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-3707: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3708: firma Apple
CVE-2012-3709: zespół do spraw bezpieczeństwa produktów firmy Apple
CVE-2012-3710: James Robinson z firmy Google
CVE-2012-3711: użytkownik SkyLined z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome
CVE-2012-3712: Abhishek Arya (Inferno) z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome