Сведения о проблемах системы безопасности, устраняемых обновлением Safari 6.0.5
В этом документе описаны проблемы системы безопасности, устраненные в Safari 6.0.5.
Обновление Safari 6.0.5 можно загрузить и установить с помощью функции Обновление ПО в настройках или со страницы загрузок службы поддержки Apple.
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.
Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.
Если возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.
Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.
Safari 6.0.5
WebKit
Целевые продукты: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.3
Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы приложения или выполнению произвольного кода.
Описание. В WebKit существовало множество ошибок, приводящих к повреждению содержимого памяти. Проблемы решены путем улучшенной обработки обращений к памяти.
CVE-ID
CVE-2013-0879: Atte Kettunen из OUSPG
CVE-2013-0991: Jay Civelli из сообщества разработчиков Chromium
CVE-2013-0992: Google Chrome Security Team (Martin Barbella)
CVE-2013-0993: Google Chrome Security Team (Inferno)
CVE-2013-0994: David German из Google
CVE-2013-0995: Google Chrome Security Team (Inferno)
CVE-2013-0996: Google Chrome Security Team (Inferno)
CVE-2013-0997: Vitaliy Toropov, работающий с компанией HP по программе Zero Day Initiative
CVE-2013-0998: пользователь pa_kt, работающий с компанией HP по программе Zero Day Initiative
CVE-2013-0999: пользователь pa_kt, работающий с компанией HP по программе Zero Day Initiative
CVE-2013-1000: Fermin J. Serna из Google Security Team
CVE-2013-1001: Ryan Humenick
CVE-2013-1002: Sergey Glazunov
CVE-2013-1003: Google Chrome Security Team (Inferno)
CVE-2013-1004: Google Chrome Security Team (Martin Barbella)
CVE-2013-1005: Google Chrome Security Team (Martin Barbella)
CVE-2013-1006: Google Chrome Security Team (Martin Barbella)
CVE-2013-1007: Google Chrome Security Team (Inferno)
CVE-2013-1008: Sergey Glazunov
CVE-2013-1009: Apple
CVE-2013-1010: miaubiz
CVE-2013-1011: Google Chrome Security Team (Inferno)
CVE-2013-1023: Google Chrome Security Team (Inferno)
WebKit
Целевые продукты: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.3
Воздействие. Посещение вредоносного веб-сайта может привести к атаке с использованием межсайтовых сценариев
Описание. Существовала проблема с выполнением межсайтовых сценариев при обработке iframe. Проблема решена путем улучшенного отслеживания источников.
CVE-ID
CVE-2013-1012: Subodh Iyengar и Erling Ellingsen из Facebook
WebKit
Целевые продукты: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.3
Воздействие. Копирование и вставка вредоносного фрагмента HTML-кода может привести к атаке с использованием межсайтовых сценариев
Описание. Существовала проблема с выполнением межсайтовых сценариев при копировании и вставке данных в HTML-документах. Проблема решена путем дополнительной проверки вставляемого содержимого.
CVE-ID
CVE-2013-0926: Aditya Gupta, Subho Halder и Dev Kar из xys3c (xysec.com)
WebKit
Целевые продукты: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.3
Воздействие. Переход по вредоносной ссылке может привести к неожиданному поведению на целевом сайте.
Описание. XSS Auditor может перезаписывать URL-адреса для предотвращения атак с использованием межсайтовых сценариев. Это может привести к злонамеренному изменению поведения отправки формы. Проблема решена путем улучшенной проверки URL-адресов.
CVE-ID
CVE-2013-1013: Sam Power из Pentest Limited
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.