Сведения о проблемах системы безопасности, устраняемых обновлением Safari 6.0.5

В этой статье описываются проблемы системы безопасности, устраняемые обновлением Safari 6.0.5.

Обновление Safari 6.0.5 можно загрузить и установить с помощью функции Обновление ПО в настройках или со страницызагрузок службы поддержки Apple.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах в системе безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Безопасность продуктов Apple.

Сведения об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.
 

Safari 6.0.5

  • WebKit

    Доступно для ОС OS X Lion 10.7.5, ОС OS X Lion Server 10.7.5, ОС OS X Mountain Lion 10.8.3.

    Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода.

    Описание. В библиотеке WebKit возникало несколько ошибок, приводящих к повреждению памяти. Проблемы устранены путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2013-0879: Атте Кеттунен (Atte Kettunen) из исследовательской группы OUSPG

    CVE-2013-0991: Джэй Сивелли (Jay Civelli) из сообщества разработки Chromium

    CVE-2013-0992: Мартин Барбелла (Martin Barbella) из команды безопасности Google Chrome

    CVE-2013-0993: пользователь Inferno из команды безопасности Google Chrome

    CVE-2013-0994: Дэвид Джермэн (David German) из корпорации Google

    CVE-2013-0995: пользователь Inferno из команды безопасности Google Chrome

    CVE-2013-0996: пользователь Inferno из команды безопасности Google Chrome

    CVE-2013-0997: Виталий Торопов (Vitaliy Toropov), сотрудничающий с компанией HP в рамках программы Zero Day Initiative

    CVE-2013-0998: пользователь pa_kt, сотрудничающий с компанией HP в рамках программы Zero Day Initiative

    CVE-2013-0999: пользователь pa_kt, сотрудничающий с компанией HP в рамках программы Zero Day Initiative

    CVE-2013-1000: Фермин Серна (Fermin J. Serna) из команды безопасности Google Chrome

    CVE-2013-1001: Райан Хьюменик (Ryan Humenick)

    CVE-2013-1002: Сергей Глазунов (Sergey Glazunov)

    CVE-2013-1003: пользователь Inferno из команды безопасности Google Chrome

    CVE-2013-1004: Мартин Барбелла (Martin Barbella) из команды безопасности Google Chrome

    CVE-2013-1005: Мартин Барбелла (Martin Barbella) из команды безопасности Google Chrome

    CVE-2013-1006: Мартин Барбелла (Martin Barbella) из команды безопасности Google Chrome

    CVE-2013-1007: пользователь Inferno из команды безопасности Google Chrome

    CVE-2013-1008: Сергей Глазунов (Sergey Glazunov)

    CVE-2013-1009: Apple

    CVE-2013-1010: пользователь miaubiz

    CVE-2013-1011: пользователь Inferno из команды безопасности Google Chrome

    CVE-2013-1023: пользователь Inferno из команды безопасности Google Chrome

  • WebKit

    Доступно для ОС OS X Lion 10.7.5, ОС OS X Lion Server 10.7.5, ОС OS X Mountain Lion 10.8.3.

    Воздействие. Посещение вредоносного веб-сайта может привести к атаке с использованием межсайтовых сценариев.

    Описание. При обработке элементов iframe возникала проблема с выполнением межсайтовых сценариев. Проблема устранена путем улучшенного отслеживания источников.

    Идентификатор CVE

    CVE-2013-1012: Субодх Иенгар (Subodh Iyengar) и Эрлинг Эллингсен (Erling Ellingsen) из компании Facebook

  • WebKit

    Доступно для ОС OS X Lion 10.7.5, ОС OS X Lion Server 10.7.5, ОС OS X Mountain Lion 10.8.3.

    Воздействие. Копирование и вставка содержимого вредоносного сниппета HTML могли привести к атаке с использованием межсайтовых сценариев.

    Описание. Возникала проблема использования межсайтовых сценариев при копировании и вставке данных в HTML-документах. Проблема устранена путем дополнительной проверки вставляемого содержимого.

    Идентификатор CVE

    CVE-2013-0926: Адитья Гупта (Aditya Gupta), Сабхо Хэлдер (Subho Halder) и Дев Кар (Dev Kar) с сайта xys3c (xysec.com)

  • WebKit

    Доступно для ОС OS X Lion 10.7.5, ОС OS X Lion Server 10.7.5, ОС OS X Mountain Lion 10.8.3.

    Воздействие. Переход по вредоносной ссылке мог привести к неожиданному поведению целевого сайта.

    Описание. С помощью функции XSS Auditor можно переписать URL-адреса для предотвращения атак с использованием межсайтовых сценариев. Это может привести к вредоносному изменению отправки форм. Проблема устранена путем улучшенной проверки URL-адресов.

    Идентификатор CVE

    CVE-2013-1013: Сэм Пауэр (Sam Power) из компании Pentest Limited

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: