Данная статья была помещена в архив и больше не обновлялась.

Сведения о проблемах системы безопасности, устраняемых обновлением Safari 5.1.4

В этой статье описываются проблемы системы безопасности, устраняемые обновлением Safari 5.1.4.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах в системе безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Безопасность продуктов Apple.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

Safari 5.1.4

  • Safari

Доступно для ОС Windows 7, Windows Vista и Windows XP с пакетом обновления 2 (SP2) и более поздних версий.

Воздействие. Похожие символы в URL могут использоваться, чтобы выдать вредоносный веб-сайт за надежный.

Описание. Поддержка международных доменных имен IDN (International Domain Name) в Safari позволяет создавать URL-адреса, содержащие похожие символы. Таким образом вредоносный веб-сайт может направлять пользователя на мошеннический сайт, который внешне похож на надежный домен. Данная проблема устранена путем улучшения проверки доменных имен. Эта проблема не возникает в системах OS X.

Идентификатор CVE

CVE-2012-0584: Мэтт Кули (Matt Cooley) из компании Symantec

  • Safari

Доступно для ОС Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Windows Vista, Windows XP с пакетом обновления 2 (SP2) или более поздней версии.

Воздействие. Посещения веб-страниц могут сохраняться в истории браузера, даже если включена функция «Частный доступ».

Описание. Функция браузера Safari «Частный доступ» предназначена для предотвращения записи сеансов доступа к сайтам. Страницы, посещаемые в результате вызова методов pushState или replaceState языка JavaScript, записывались в историю браузера, даже если функция «Частный доступ» была включена. Проблема решена путем предотвращения записи таких посещений при включенной функции «Частный доступ».

Идентификатор CVE

CVE-2012-0585: Эрик Мелвилл (Eric Melville) из American Express

  • WebKit

Доступно для ОС Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Windows Vista, Windows XP с пакетом обновления 2 (SP2) или более поздней версии.

Воздействие. Посещение вредоносного веб-сайта может привести к атаке с использованием межсайтовых сценариев.

Описание. В WebKit возникало несколько проблем, связанных с размещением сценариев на разных сайтах.

Идентификатор CVE

CVE-2011-3881: Сергей Глазунов (Sergey Glazunov)

CVE-2012-0586: Сергей Глазунов (Sergey Glazunov)

CVE-2012-0587: Сергей Глазунов (Sergey Glazunov)

CVE-2012-0588: Йохен Айзингер (Jochen Eisinger), Google Chrome Team

CVE-2012-0589: Алан Остин (Alan Austin), polyvore.com

  • WebKit

Доступно для ОС Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Windows Vista, Windows XP с пакетом обновления 2 (SP2) или более поздней версии.

Воздействие. Посещение вредоносного веб-сайта может открыть доступ к файлам cookie.

Описание. В WebKit возникала проблема перекрестных источников, которая позволяла получать доступ к файлам cookie с другого компьютера.

Идентификатор CVE

CVE-2011-3887: Сергей Глазунов (Sergey Glazunov)

  • WebKit

Доступно для ОС Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Windows Vista, Windows XP с пакетом обновления 2 (SP2) или более поздней версии.

Воздействие. Посещение вредоносного веб-сайта и последующее перетаскивание содержимого мышью может приводить к межсайтовой атаке с помощью сценариев.

Описание. В WebKit возникала проблема, которая позволяла перетаскивать содержимое между различными источниками.

Идентификатор CVE

CVE-2012-0590: Адам Барт (Adam Barth), подразделение Google Chrome Security Team

  • WebKit

Доступно для ОС Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Windows Vista, Windows XP с пакетом обновления 2 (SP2) или более поздней версии.

Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода.

Описание. В WebKit возникало несколько ошибок, приводящих к повреждению памяти.

Идентификатор CVE

CVE-2011-2825: kuzzcc и wushi из team509, работающие с компанией TippingPoint по программе Zero Day Initiative

CVE-2011-2833: Apple

CVE-2011-2846: Артур Джеркис (Arthur Gerkis), miaubiz

CVE-2011-2847: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer

CVE-2011-2854: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer

CVE-2011-2855: Артур Джеркис (Arthur Gerkis), wushi из команды team509, работающей с компанией iDefense по программе VCP

CVE-2011-2857: miaubiz

CVE-2011-2860: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer

CVE-2011-2866: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer

CVE-2011-2867: Дирк Шульце (Dirk Schulze)

CVE-2011-2868: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer

CVE-2011-2869: Крис Некар (Cris Neckar) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer

CVE-2011-2870: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer

CVE-2011-2871: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer

CVE-2011-2872: Абхишек Арья (Abhishek Arya) (Inferno) и Крис Некар (Cris Neckar) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer

CVE-2011-2873: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer

CVE-2011-2877: miaubiz

CVE-2011-3885: miaubiz

CVE-2011-3888: miaubiz

CVE-2011-3897: pa_kt, работающий с компанией TippingPoint по программе Zero Day Initiative

CVE-2011-3908: Аки Хелин (Aki Helin) из компании OUSPG

CVE-2011-3909: подразделение Google Chrome Security Team (scarybeasts) и пользователь Chu

CVE-2011-3928: kuzzcc и wushi из team509, работающие с компанией TippingPoint по программе Zero Day Initiative

CVE-2012-0591: miaubiz и Мартин Барбелла (Martin Barbella)

CVE-2012-0592: Александр Гаврун (Alexander Gavrun), работающий с компанией TippingPoint по программе Zero Day Initiative

CVE-2012-0593: Лей Жанг (Lei Zhang) из сообщества разработчиков Chromium

CVE-2012-0594: Адам Клайн (Adam Klein) из сообщества разработчиков Chromium

CVE-2012-0595: Apple

CVE-2012-0596: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer

CVE-2012-0597: miaubiz

CVE-2012-0598: Сергей Глазунов (Sergey Glazunov)

CVE-2012-0599: Дмитро Горбунов (Dmytro Gorbunov), SaveSources.com

CVE-2012-0600: Маршал Гринблатт (Marshall Greenblatt), Дхарани Говиндан (Dharani Govindan) из команды Google Chrome, miaubiz, Аки Хелин (Aki Helin) из OUSPG

CVE-2012-0601: Apple

CVE-2012-0602: Apple

CVE-2012-0603: Apple

CVE-2012-0604: Apple

CVE-2012-0605: Apple

CVE-2012-0606: Apple

CVE-2012-0607: Apple

CVE-2012-0608: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer

CVE-2012-0609: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer

CVE-2012-0610: miaubiz, Мартин Барбелла (Martin Barbella) с использованием инструмента AddressSanitizer

CVE-2012-0611: Мартин Барбелла (Martin Barbella) с использованием инструмента AddressSanitizer

CVE-2012-0612: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer

CVE-2012-0613: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer

CVE-2012-0614: miaubiz, Мартин Барбелла (Martin Barbella) с использованием инструмента AddressSanitizer

CVE-2012-0615: Мартин Барбелла (Martin Barbella) с использованием инструмента AddressSanitizer

CVE-2012-0616: miaubiz

CVE-2012-0617: Мартин Барбелла (Martin Barbella) с использованием инструмента AddressSanitizer

CVE-2012-0618: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer

CVE-2012-0619: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer

CVE-2012-0620: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer

CVE-2012-0621: Мартин Барбелла (Martin Barbella) с использованием инструмента AddressSanitizer

CVE-2012-0622: Дейв Левин (Dave Levin) и Абхишек Арья (Abhishek Arya) из подразделения Google Chrome Security Team

CVE-2012-0623: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer

CVE-2012-0624: Мартин Барбелла (Martin Barbella) с использованием инструмента AddressSanitizer

CVE-2012-0625: Мартин Барбелла (Martin Barbella)

CVE-2012-0626: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer

CVE-2012-0627: Apple

CVE-2012-0628: Славомир Блажек (Slawomir Blazek), Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer

CVE-2012-0629: Абхишек Арья (Abhishek Arya) (Inferno), подразделение Google Chrome Security Team

CVE-2012-0630: Серхио Вильяр Сенин (Sergio Villar Senin) из компании Igalia

CVE-2012-0631: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team

CVE-2012-0632: Крис Некар (Cris Neckar) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer

CVE-2012-0633: Apple

CVE-2012-0635: Жюльен Шафрэ (Julien Chaffraix) из сообщества разработчиков Chromium, Мартин Барбелла (Martin Barbella) с использованием инструмента AddressSanitizer

CVE-2012-0636: Джереми Эпсорп (Jeremy Apthorp) из Google, Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer

CVE-2012-0637: Apple

CVE-2012-0638: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer

CVE-2012-0639: Абхишек Арья (Abhishek Arya) (Inferno) из подразделения Google Chrome Security Team, использующего инструмент AddressSanitizer

CVE-2012-0648: Apple

  • WebKit

Доступно для ОС Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Windows Vista, Windows XP с пакетом обновления 2 (SP2) или более поздней версии.

Воздействие. Сторонние сайты могут создавать файлы cookie, даже если настройки Safari блокируют такие файлы.

Описание. Возникала проблема соблюдения политики в отношении файлов cookie. Сторонние веб-сайты могли создавать файлы cookie, если для параметра «Блокировать файлы cookie» в Safari установлено значение «От третьих сторон и рекламодателей».

Идентификатор CVE

CVE-2012-0640: nshah

  • WebKit

Доступно для ОС Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Windows Vista, Windows XP с пакетом обновления 2 (SP2) или более поздней версии.

Воздействие. Параметры доступа для аутентификации по протоколу HTTP могут быть непреднамеренно раскрыты для другого сайта.

Описание. Если на сайте используется аутентификация по протоколу HTTP и перенаправление на другой сайт, параметры аутентификации могут быть отправлены другому сайту.

Идентификатор CVE

CVE-2012-0647: анонимный исследователь

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: