Сведения о проблемах системы безопасности, устраняемых обновлением Safari 6.0.5

В этом документе описаны проблемы системы безопасности, устраненные в Safari 6.0.5.

Обновление Safari 6.0.5 можно загрузить и установить с помощью функции Обновление ПО в настройках или со страницы загрузок службы поддержки Apple.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Если возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

Safari 6.0.5

  • WebKit

    Целевые продукты: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.3

    Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

    Описание. В WebKit существовало множество ошибок, приводящих к повреждению содержимого памяти. Проблемы решены путем улучшенной обработки обращений к памяти.

    CVE-ID

    CVE-2013-0879: Atte Kettunen из OUSPG

    CVE-2013-0991: Jay Civelli из сообщества разработчиков Chromium

    CVE-2013-0992: Google Chrome Security Team (Martin Barbella)

    CVE-2013-0993: Google Chrome Security Team (Inferno)

    CVE-2013-0994: David German из Google

    CVE-2013-0995: Google Chrome Security Team (Inferno)

    CVE-2013-0996: Google Chrome Security Team (Inferno)

    CVE-2013-0997: Vitaliy Toropov, работающий с компанией HP по программе Zero Day Initiative

    CVE-2013-0998: пользователь pa_kt, работающий с компанией HP по программе Zero Day Initiative

    CVE-2013-0999: пользователь pa_kt, работающий с компанией HP по программе Zero Day Initiative

    CVE-2013-1000: Fermin J. Serna из Google Security Team

    CVE-2013-1001: Ryan Humenick

    CVE-2013-1002: Sergey Glazunov

    CVE-2013-1003: Google Chrome Security Team (Inferno)

    CVE-2013-1004: Google Chrome Security Team (Martin Barbella)

    CVE-2013-1005: Google Chrome Security Team (Martin Barbella)

    CVE-2013-1006: Google Chrome Security Team (Martin Barbella)

    CVE-2013-1007: Google Chrome Security Team (Inferno)

    CVE-2013-1008: Sergey Glazunov

    CVE-2013-1009: Apple

    CVE-2013-1010: miaubiz

    CVE-2013-1011: Google Chrome Security Team (Inferno)

    CVE-2013-1023: Google Chrome Security Team (Inferno)

  • WebKit

    Целевые продукты: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.3

    Воздействие. Посещение вредоносного веб-сайта может привести к атаке с использованием межсайтовых сценариев

    Описание. Существовала проблема с выполнением межсайтовых сценариев при обработке iframe. Проблема решена путем улучшенного отслеживания источников.

    CVE-ID

    CVE-2013-1012: Subodh Iyengar и Erling Ellingsen из Facebook

  • WebKit

    Целевые продукты: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.3

    Воздействие. Копирование и вставка вредоносного фрагмента HTML-кода может привести к атаке с использованием межсайтовых сценариев

    Описание. Существовала проблема с выполнением межсайтовых сценариев при копировании и вставке данных в HTML-документах. Проблема решена путем дополнительной проверки вставляемого содержимого.

    CVE-ID

    CVE-2013-0926: Aditya Gupta, Subho Halder и Dev Kar из xys3c (xysec.com)

  • WebKit

    Целевые продукты: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.3

    Воздействие. Переход по вредоносной ссылке может привести к неожиданному поведению на целевом сайте.

    Описание. XSS Auditor может перезаписывать URL-адреса для предотвращения атак с использованием межсайтовых сценариев. Это может привести к злонамеренному изменению поведения отправки формы. Проблема решена путем улучшенной проверки URL-адресов.

    CVE-ID

    CVE-2013-1013: Sam Power из Pentest Limited

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: