Сведения о проблемах системы безопасности, устраняемых обновлением Safari 5.1.4
В этой статье описываются проблемы системы безопасности, устраняемые обновлением Safari 5.1.4.
В целях защиты клиентов компания Apple не разглашает информацию о проблемах в системе безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Безопасность продуктов Apple.
Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.
Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.
Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.
Safari 5.1.4
Safari
Доступно для ОС Windows 7, Windows Vista и Windows XP с пакетом обновления 2 (SP2) и более поздних версий.
Воздействие. Похожие символы в URL могут использоваться, чтобы выдать вредоносный веб-сайт за надежный.
Описание. Поддержка международных доменных имен IDN (International Domain Name) в Safari позволяет создавать URL-адреса, содержащие похожие символы. Таким образом вредоносный веб-сайт может направлять пользователя на мошеннический сайт, который внешне похож на надежный домен. Данная проблема устранена путем улучшения проверки доменных имен. Эта проблема не возникает в системах OS X.
Идентификатор CVE
CVE-2012-0584: Мэтт Кули (Matt Cooley) из компании Symantec
Safari
Доступно для ОС Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Windows Vista, Windows XP с пакетом обновления 2 (SP2) или более поздней версии.
Воздействие. Посещения веб-страниц могут сохраняться в истории браузера, даже если включена функция «Частный доступ».
Описание. Функция браузера Safari «Частный доступ» предназначена для предотвращения записи сеансов доступа к сайтам. Страницы, посещаемые в результате вызова методов pushState или replaceState языка JavaScript, записывались в историю браузера, даже если функция «Частный доступ» была включена. Проблема решена путем предотвращения записи таких посещений при включенной функции «Частный доступ».
Идентификатор CVE
CVE-2012-0585: Эрик Мелвилл (Eric Melville) из American Express
WebKit
Доступно для ОС Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Windows Vista, Windows XP с пакетом обновления 2 (SP2) или более поздней версии.
Воздействие. Посещение вредоносного веб-сайта может привести к атаке с использованием межсайтовых сценариев.
Описание. В WebKit возникало несколько проблем, связанных с размещением сценариев на разных сайтах.
Идентификатор CVE
CVE-2011-3881: Сергей Глазунов (Sergey Glazunov)
CVE-2012-0586: Сергей Глазунов (Sergey Glazunov)
CVE-2012-0587: Сергей Глазунов (Sergey Glazunov)
CVE-2012-0588: Йохен Айзингер (Jochen Eisinger), Google Chrome Team
CVE-2012-0589: Алан Остин (Alan Austin), polyvore.com
WebKit
Доступно для ОС Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Windows Vista, Windows XP с пакетом обновления 2 (SP2) или более поздней версии.
Воздействие. Посещение вредоносного веб-сайта может открыть доступ к файлам cookie.
Описание. В WebKit возникала проблема перекрестных источников, которая позволяла получать доступ к файлам cookie с другого компьютера.
Идентификатор CVE
CVE-2011-3887: Сергей Глазунов (Sergey Glazunov)
WebKit
Доступно для ОС Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Windows Vista, Windows XP с пакетом обновления 2 (SP2) или более поздней версии.
Воздействие. Посещение вредоносного веб-сайта и последующее перетаскивание содержимого мышью может приводить к межсайтовой атаке с помощью сценариев.
Описание. В WebKit возникала проблема, которая позволяла перетаскивать содержимое между различными источниками.
Идентификатор CVE
CVE-2012-0590: Адам Барт (Adam Barth), подразделение Google Chrome Security Team
WebKit
Доступно для ОС Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Windows Vista, Windows XP с пакетом обновления 2 (SP2) или более поздней версии.
Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода.
Описание. В WebKit возникало несколько ошибок, приводящих к повреждению памяти.
Идентификатор CVE
CVE-2011-2825: kuzzcc и wushi из team509, работающие с компанией TippingPoint по программе Zero Day Initiative
CVE-2011-2833: Apple
CVE-2011-2846: Артур Джеркис (Arthur Gerkis), miaubiz
CVE-2011-2847: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer
CVE-2011-2854: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer
CVE-2011-2855: Артур Джеркис (Arthur Gerkis), wushi из команды team509, работающей с компанией iDefense по программе VCP
CVE-2011-2857: miaubiz
CVE-2011-2860: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer
CVE-2011-2866: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer
CVE-2011-2867: Дирк Шульце (Dirk Schulze)
CVE-2011-2868: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer
CVE-2011-2869: Крис Некар (Cris Neckar) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer
CVE-2011-2870: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer
CVE-2011-2871: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer
CVE-2011-2872: Абхишек Арья (Abhishek Arya) (Inferno) и Крис Некар (Cris Neckar) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer
CVE-2011-2873: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer
CVE-2011-2877: miaubiz
CVE-2011-3885: miaubiz
CVE-2011-3888: miaubiz
CVE-2011-3897: pa_kt, работающий с компанией TippingPoint по программе Zero Day Initiative
CVE-2011-3908: Аки Хелин (Aki Helin) из компании OUSPG
CVE-2011-3909: подразделение Google Chrome Security Team (scarybeasts) и пользователь Chu
CVE-2011-3928: kuzzcc и wushi из team509, работающие с компанией TippingPoint по программе Zero Day Initiative
CVE-2012-0591: miaubiz и Мартин Барбелла (Martin Barbella)
CVE-2012-0592: Александр Гаврун (Alexander Gavrun), работающий с компанией TippingPoint по программе Zero Day Initiative
CVE-2012-0593: Лей Жанг (Lei Zhang) из сообщества разработчиков Chromium
CVE-2012-0594: Адам Клайн (Adam Klein) из сообщества разработчиков Chromium
CVE-2012-0595: Apple
CVE-2012-0596: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer
CVE-2012-0597: miaubiz
CVE-2012-0598: Сергей Глазунов (Sergey Glazunov)
CVE-2012-0599: Дмитро Горбунов (Dmytro Gorbunov), SaveSources.com
CVE-2012-0600: Маршал Гринблатт (Marshall Greenblatt), Дхарани Говиндан (Dharani Govindan) из команды Google Chrome, miaubiz, Аки Хелин (Aki Helin) из OUSPG
CVE-2012-0601: Apple
CVE-2012-0602: Apple
CVE-2012-0603: Apple
CVE-2012-0604: Apple
CVE-2012-0605: Apple
CVE-2012-0606: Apple
CVE-2012-0607: Apple
CVE-2012-0608: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer
CVE-2012-0609: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer
CVE-2012-0610: miaubiz, Мартин Барбелла (Martin Barbella) с использованием инструмента AddressSanitizer
CVE-2012-0611: Мартин Барбелла (Martin Barbella) с использованием инструмента AddressSanitizer
CVE-2012-0612: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer
CVE-2012-0613: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer
CVE-2012-0614: miaubiz, Мартин Барбелла (Martin Barbella) с использованием инструмента AddressSanitizer
CVE-2012-0615: Мартин Барбелла (Martin Barbella) с использованием инструмента AddressSanitizer
CVE-2012-0616: miaubiz
CVE-2012-0617: Мартин Барбелла (Martin Barbella) с использованием инструмента AddressSanitizer
CVE-2012-0618: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer
CVE-2012-0619: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer
CVE-2012-0620: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer
CVE-2012-0621: Мартин Барбелла (Martin Barbella) с использованием инструмента AddressSanitizer
CVE-2012-0622: Дейв Левин (Dave Levin) и Абхишек Арья (Abhishek Arya) из подразделения Google Chrome Security Team
CVE-2012-0623: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer
CVE-2012-0624: Мартин Барбелла (Martin Barbella) с использованием инструмента AddressSanitizer
CVE-2012-0625: Мартин Барбелла (Martin Barbella)
CVE-2012-0626: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer
CVE-2012-0627: Apple
CVE-2012-0628: Славомир Блажек (Slawomir Blazek), Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer
CVE-2012-0629: Абхишек Арья (Abhishek Arya) (Inferno), подразделение Google Chrome Security Team
CVE-2012-0630: Серхио Вильяр Сенин (Sergio Villar Senin) из компании Igalia
CVE-2012-0631: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team
CVE-2012-0632: Крис Некар (Cris Neckar) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer
CVE-2012-0633: Apple
CVE-2012-0635: Жюльен Шафрэ (Julien Chaffraix) из сообщества разработчиков Chromium, Мартин Барбелла (Martin Barbella) с использованием инструмента AddressSanitizer
CVE-2012-0636: Джереми Эпсорп (Jeremy Apthorp) из Google, Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer
CVE-2012-0637: Apple
CVE-2012-0638: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer
CVE-2012-0639: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer
CVE-2012-0648: Apple
WebKit
Доступно для ОС Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Windows Vista, Windows XP с пакетом обновления 2 (SP2) или более поздней версии.
Воздействие. Сторонние сайты могут создавать файлы cookie, даже если настройки Safari блокируют такие файлы.
Описание. Возникала проблема соблюдения политики в отношении файлов cookie. Сторонние веб-сайты могли создавать файлы cookie, если для параметра «Блокировать файлы cookie» в Safari установлено значение «От третьих сторон и рекламодателей».
Идентификатор CVE
CVE-2012-0640: nshah
WebKit
Доступно для ОС Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Windows Vista, Windows XP с пакетом обновления 2 (SP2) или более поздней версии.
Воздействие. Параметры доступа для аутентификации по протоколу HTTP могут быть непреднамеренно раскрыты для другого сайта.
Описание. Если на сайте используется аутентификация по протоколу HTTP и перенаправление на другой сайт, параметры аутентификации могут быть отправлены другому сайту.
Идентификатор CVE
CVE-2012-0647: анонимный исследователь
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.