Om säkerhetsinnehållet i Safari 5.1.4

Detta dokument beskriver säkerhetsinnehållet i Safari 5.1.4.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apple produktsäkerhet.

Information om PGP-nyckeln från Apple Product Security finns i ”Så här använder du en PGP-nyckel från Apple Product Security”.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om säkerhetsuppdateringar finns i ”Säkerhetsuppdateringar från Apple”.

Safari 5.1.4

• Safari

Tillgänglig för: Windows 7, Vista, XP SP2 eller senare

Problem: Dubbelgångartecken i en URL kan användas till att imitera en webbplats

Beskrivning: IDN-stödet (International Domain Name) i Safari kan användas för att skapa en URL som innehåller dubbelgångartecken. Dessa kan användas på en webbplats med skadligt innehåll för att styra användaren till en förfalskad webbplats, som ser ut att vara en riktig domän. Problemet åtgärdas genom en bättre validitetskontroll av domännamnet. Det här problemet påverkar inte OS X-system.

CVE-ID

CVE-2012-0584: Matt Cooley på Symantec

• Safari

Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 eller senare

Effekt: Det kan hända att besök på webbsidor registreras i webbläsarhistoriken även om Privat surfning är aktivt

Beskrivning: Privat surfning i Safari är gjort för att förhindra registrering av en surfsession. Besökta webbsidor registrerades i webbläsarhistoriken även när Privat surfning var aktivt på grund av att webbplatsen använde JavaScript-metoderna pushState och replaceState. Det här problemet åtgärdas genom att inte registrera sådana besök när Privat surfning är aktivt.

CVE-ID

CVE-2012-0585: Eric Melville på American Express

• WebKit

Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 eller senare

Problem: Besök på en webbplats med skadligt innehåll kan leda till en attack via manuskörning över flera platser

Beskrivning: Flera XSS-problem fanns i WebKit

CVE-ID

CVE-2011-3881: Sergey Glazunov

CVE-2012-0586: Sergey Glazunov

CVE-2012-0587: Sergey Glazunov

CVE-2012-0588: Jochen Eisinger på Google Chrome Team

CVE-2012-0589: Alan Austin på polyvore.com

• WebKit

Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 eller senare

Effekt: Besök på en webbplats med skadligt innehåll kan leda till spridning av cookies

Beskrivning: Ett problem med olika källor fanns i WebKit, vilket kunde leda till att cookies spreds mellan olika ursprung.

CVE-ID

CVE-2011-3887: Sergey Glazunov

• WebKit

Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 eller senare

Effekt: Besök på en webbplats med skadligt innehåll och att dra innehåll med musen kan leda till en XSS-attack

Beskrivning: Ett problem med olika källor fanns i WebKit, vilket kan leda till att innehåll dras och släpps mellan olika ursprung.

CVE-ID

CVE-2012-0590: Adam Barth på Google Chrome Security Team

• WebKit

Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 eller senare

Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras

Beskrivning: Flera minnesfel förekom i WebKit.

CVE-ID

CVE-2011-2825: wushi på team509 i samarbete med TippingPoints Zero Day Initiative

CVE-2011-2833: Apple

CVE-2011-2846: Arthur Gerkis, miaubiz

CVE-2011-2847: miaubiz, Abhishek Arya (Inferno) på Google Chrome Security Team med användning av AddressSanitizer

CVE-2011-2854: Abhishek Arya (Inferno) på Google Chrome Security Team med användning av AddressSanitizer

CVE-2011-2855: Arthur Gerkis, wushi i team509 i samarbete med iDefense VCP

CVE-2011-2857: miaubiz

CVE-2011-2860: Abhishek Arya (Inferno) på Google Chrome Security Team med användning av AddressSanitizer

CVE-2011-2866: Abhishek Arya (Inferno) på Google Chrome Security Team med användning av AddressSanitizer

CVE-2011-2867: Dirk Schulze

CVE-2011-2868: Abhishek Arya (Inferno) på Google Chrome Security Team med användning av AddressSanitizer

CVE-2011-2869: Cris Neckar på Google Chrome Security Team med användning av AddressSanitizer

CVE-2011-2870: Abhishek Arya (Inferno) på Google Chrome Security Team med användning av AddressSanitizer

CVE-2011-2871: Abhishek Arya (Inferno) på Google Chrome Security Team med användning av AddressSanitizer

CVE-2011-2872: Abhishek Arya (Inferno) och Cris Neckar på Google Chrome Security Team med användning av AddressSanitizer

CVE-2011-2873: Abhishek Arya (Inferno) på Google Chrome Security Team med användning av AddressSanitizer

CVE-2011-2877: miaubiz

CVE-2011-3885: miaubiz

CVE-2011-3888: miaubiz

CVE-2011-3897: pa_kt i samarbete med TippingPoints Zero Day Initiative

CVE-2011-3908: Aki Helin på OUSPG

CVE-2011-3909: Google Chrome Security Team (scarybeasts) och Chu

CVE-2011-3928: wushi på team509 i samarbete med TippingPoints Zero Day Initiative

CVE-2012-0591: miaubiz och Martin Barbella

CVE-2012-0592: Alexander Gavrun i samarbete med TippingPoints Zero Day Initiative

CVE-2012-0593: Lei Zhang på Chromium development community

CVE-2012-0594: Adam Klein på Chromium development community

CVE-2012-0595: Apple

CVE-2012-0596: Abhishek Arya (Inferno) på Google Chrome Security Team med användning av AddressSanitizer

CVE-2012-0597: miaubiz

CVE-2012-0598: Sergey Glazunov

CVE-2012-0599: Dmytro Gorbunov på SaveSources.com

CVE-2012-0600: Marshall Greenblatt, Dharani Govindan på Google Chrome, miaubiz, Aki Helin på OUSPG

CVE-2012-0601: Apple

CVE-2012-0602: Apple

CVE-2012-0603: Apple

CVE-2012-0604: Apple

CVE-2012-0605: Apple

CVE-2012-0606: Apple

CVE-2012-0607: Apple

CVE-2012-0608: Abhishek Arya (Inferno) på Google Chrome Security Team med användning av AddressSanitizer

CVE-2012-0609: Abhishek Arya (Inferno) på Google Chrome Security Team med användning av AddressSanitizer

CVE-2012-0610: miaubiz, Martin Barbella med användning av AddressSanitizer

CVE-2012-0611: Martin Barbella med användning av AddressSanitizer

CVE-2012-0612: Abhishek Arya (Inferno) på Google Chrome Security Team med användning av AddressSanitizer

CVE-2012-0613: Abhishek Arya (Inferno) på Google Chrome Security Team med användning av AddressSanitizer

CVE-2012-0614: miaubiz, Martin Barbella med användning av AddressSanitizer

CVE-2012-0615: Martin Barbella med användning av AddressSanitizer

CVE-2012-0616: miaubiz

CVE-2012-0617: Martin Barbella med användning av AddressSanitizer

CVE-2012-0618: Abhishek Arya (Inferno) på Google Chrome Security Team med användning av AddressSanitizer

CVE-2012-0619: Abhishek Arya (Inferno) på Google Chrome Security Team med användning av AddressSanitizer

CVE-2012-0620: Abhishek Arya (Inferno) på Google Chrome Security Team med användning av AddressSanitizer

CVE-2012-0621: Martin Barbella med användning av AddressSanitizer

CVE-2012-0622: Dave Levin och Abhishek Arya på Google Chrome Security Team

CVE-2012-0623: Abhishek Arya (Inferno) på Google Chrome Security Team med användning av AddressSanitizer

CVE-2012-0624: Martin Barbella med användning av AddressSanitizer

CVE-2012-0625: Martin Barbella

CVE-2012-0626: Abhishek Arya (Inferno) på Google Chrome Security Team med användning av AddressSanitizer

CVE-2012-0627: Apple

CVE-2012-0628: Slawomir Blazek, miaubiz, Abhishek Arya (Inferno) på Google Chrome Security Team med användning av AddressSanitizer

CVE-2012-0629: Abhishek Arya (Inferno) på Google Chrome Security Team

CVE-2012-0630: Sergio Villar Senin på Igalia

CVE-2012-0631: Abhishek Arya (Inferno) på Google Chrome Security Team

CVE-2012-0632: Cris Neckar på Google Chrome Security Team med hjälp av AddressSanitizer

CVE-2012-0633: Apple

CVE-2012-0635: Julien Chaffraix på Chromium development community, Martin Barbella med användning av AddressSanitizer

CVE-2012-0636: Jeremy Apthorp på Google, Abhishek Arya (Inferno) på Google Chrome Security Team med användning av AddressSanitizer

CVE-2012-0637: Apple

CVE-2012-0638: Abhishek Arya (Inferno) på Google Chrome Security Team med användning av AddressSanitizer

CVE-2012-0639: Abhishek Arya (Inferno) på Google Chrome Security Team med användning av AddressSanitizer

CVE-2012-0648: Apple

• WebKit

Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 eller senare

Effekt: Cookies kan placeras av tredje part-webbplatser även om Safari har konfigurerats för att blockera dem

Beskrivning: Ett problem förekom med upprätthållandet av dess cookie-policy. Tredje part-webbplatser kunde placera cookies även om inställningen Blockera cookies i Safari var inställt på standardinställningen Från tredje part och annonsörer.

CVE-ID

CVE-2012-0640: nshah

• WebKit

Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 eller senare

Effekt: HTTP Authentication-behörighet kan ofrivilligt avslöjas till annan webbplats

Beskrivning: Om en webbplats använder HTTP-autentisering och omdirigerar till en annan webbplats kan behörigheten också skickas över till den andra webbplatsen.

CVE-ID

CVE-2012-0647: En anonym person