Om säkerhetsinnehållet i Safari 6

Detta dokument beskriver säkerhetsinnehållet i Safari 6.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apple produktsäkerhet.

Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om säkerhetsuppdateringar finns i ”Säkerhetsuppdateringar från Apple”.

Safari 6.0

  • Safari

    Tillgänglig för: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Problem: Besök på en webbplats med skadligt innehåll kan leda till en attack via skriptkörning över flera platser

    Beskrivning: Ett problem med skript på flera platser förekom i hanteringen av feed:// URL-länkar. Uppdateringen tar bort hantering av feed:// URL-länkar.

    CVE-ID

    CVE-2012-0678: Masato Kinugawa

  • Safari

    Tillgänglig för: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Effekt: Besök på en skadlig webbplats kan göra att filer från användarens system skickas till en fjärrserver

    Beskrivning: Ett problem med åtkomstkontroll förekom i hanteringen av feed:// URL-länkar. Uppdateringen tar bort hantering av feed:// URL-länkar.

    CVE-ID

    CVE-2012-0679: Aaron Sigel på vtty.com

  • Safari

    Tillgänglig för: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Effekt: Lösenord kan autokompletteras även om webbplatsen anger att funktionen ska vara avaktiverad

    Beskrivning: Inmatningselement för lösenord med autokomplettering ställt på ”av” autokompletterades. Uppdateringen åtgärdar problemet med förbättrad hantering av autokompletteringsattributet.

    CVE-ID

    CVE-2012-0680: Dan Poltawski på Moodle

  • Safari-hämtningar

    Tillgänglig för: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Effekt: Öppning av uppsåtligt skapade filer på vissa webbplatser kan leda till skriptangrepp mellan flera webbplatser

    Beskrivning: Det fanns ett problem i Safaris stöd för bilagevärdet i HTTP Content-Disposition-sidhuvudet. Den här rubriken används av många webbplatser för att betjäna filer som lästes in på webbplatsen av en tredje part, såsom bilagor i webbaserade e-postprogram. Vilket skript som helst i filer med detta rubrikvärde kördes som om filen hade betjänats på källservern. Problemet är åtgärdat genom hämtning av resurser som betjänas av sidhuvudet i stället för att visa dem inbäddat.

    CVE-ID

    CVE-2011-3426: Mickey Shkatov på laplinker.com, Kyle Osborn, Hidetake Jo på Microsoft och Microsoft Vulnerability Research (MSVR)

  • WebKit

    Tillgänglig för: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras

    Beskrivning: Flera minnesfel förekom i WebKit. Dessa problem åtgärdas genom förbättrad minneshantering.

    CVE-ID

    CVE-2011-3016: miaubiz

    CVE-2011-3021: Arthur Gerkis

    CVE-2011-3027: miaubiz

    CVE-2011-3032: Arthur Gerkis

    CVE-2011-3034: Arthur Gerkis

    CVE-2011-3035: wushi i team509 i samarbete med iDefense VCP, Arthur Gerkis

    CVE-2011-3036: miaubiz

    CVE-2011-3037: miaubiz

    CVE-2011-3038: miaubiz

    CVE-2011-3039: miaubiz

    CVE-2011-3040: miaubiz

    CVE-2011-3041: miaubiz

    CVE-2011-3042: miaubiz

    CVE-2011-3043: miaubiz

    CVE-2011-3044: Arthur Gerkis

    CVE-2011-3050: miaubiz

    CVE-2011-3053: miaubiz

    CVE-2011-3059: Arthur Gerkis

    CVE-2011-3060: miaubiz

    CVE-2011-3064: Atte Kettunen på OUSPG

    CVE-2011-3068: miaubiz

    CVE-2011-3069: miaubiz

    CVE-2011-3071: pa_kt i samarbete med HP:s Zero Day Initiative

    CVE-2011-3073: Arthur Gerkis

    CVE-2011-3074: Slawomir Blazek

    CVE-2011-3075: miaubiz

    CVE-2011-3076: miaubiz

    CVE-2011-3078: Martin Barbella på Google Chrome Security Team

    CVE-2011-3081: miaubiz

    CVE-2011-3086: Arthur Gerkis

    CVE-2011-3089: SkyLined på Google Chrome Security Team, miaubiz

    CVE-2011-3090: Arthur Gerkis

    CVE-2011-3913: Arthur Gerkis

    CVE-2011-3924: Arthur Gerkis

    CVE-2011-3926: Arthur Gerkis

    CVE-2011-3958: miaubiz

    CVE-2011-3966: Aki Helin på OUSPG

    CVE-2011-3968: Arthur Gerkis

    CVE-2011-3969: Arthur Gerkis

    CVE-2011-3971: Arthur Gerkis

    CVE-2012-0682: Apple Product Security

    CVE-2012-0683: Dave Mandelin på Mozilla

    CVE-2012-1520: Martin Barbella på Google Chrome Security Team med AddressSanitizer, Jose A. Vazquez på spa-s3c.blogspot.com i samarbete med iDefense VCP

    CVE-2012-1521: Skylined på Google Chrome Security Team, Jose A. Vazquez på spa-s3c.blogspot.com i samarbete med iDefense VCP

    CVE-2012-3589: Dave Mandelin på Mozilla

    CVE-2012-3590: Apple Product Security

    CVE-2012-3591: Apple Product Security

    CVE-2012-3592: Apple Product Security

    CVE-2012-3593: Apple Product Security

    CVE-2012-3594: miaubiz

    CVE-2012-3595: Martin Barbella på Google Chrome Security Team

    CVE-2012-3596: SkyLined på Google Chrome Security Team

    CVE-2012-3597: Abhishek Arya på Google Chrome Security Team med användning av AddressSanitizer

    CVE-2012-3599: Abhishek Arya på Google Chrome Security Team med användning av AddressSanitizer

    CVE-2012-3600: David Levin på Chromium development community

    CVE-2012-3603: Apple Product Security

    CVE-2012-3604: SkyLined på Google Chrome Security Team

    CVE-2012-3605: Cris Neckar på Google Chrome Security Team

    CVE-2012-3608: SkyLined på Google Chrome Security Team

    CVE-2012-3609: SkyLined på Google Chrome Security Team

    CVE-2012-3610: SkyLined på Google Chrome Security Team

    CVE-2012-3611: Apple Product Security

    CVE-2012-3615: Stephen Chenney på Chromium development community

    CVE-2012-3618: Abhishek Arya på Google Chrome Security Team med användning av AddressSanitizer

    CVE-2012-3620: Abhishek Arya på Google Chrome Security Team

    CVE-2012-3625: SkyLined på Google Chrome Security Team

    CVE-2012-3626: Apple Product Security

    CVE-2012-3627: Skylined och Abhishek Arya på Google Chrome Security Team

    CVE-2012-3628: Apple Product Security

    CVE-2012-3629: Abhishek Arya på Google Chrome Security Team med användning av AddressSanitizer

    CVE-2012-3630: Abhishek Arya på Google Chrome Security Team med användning av AddressSanitizer

    CVE-2012-3631: Abhishek Arya på Google Chrome Security Team med användning av AddressSanitizer

    CVE-2012-3633: Martin Barbella på Google Chrome Security Team med användning av AddressSanitizer

    CVE-2012-3634: Martin Barbella på Google Chrome Security Team med användning av AddressSanitizer

    CVE-2012-3635: Martin Barbella på Google Chrome Security Team med användning av AddressSanitizer

    CVE-2012-3636: Martin Barbella på Google Chrome Security Team med användning av AddressSanitizer

    CVE-2012-3637: Martin Barbella på Google Chrome Security Team med användning av AddressSanitizer

    CVE-2012-3638: Martin Barbella på Google Chrome Security Team med användning av AddressSanitizer

    CVE-2012-3639: Martin Barbella på Google Chrome Security Team med användning av AddressSanitizer

    CVE-2012-3640: miaubiz

    CVE-2012-3641: Slawomir Blazek

    CVE-2012-3642: miaubiz

    CVE-2012-3644: miaubiz

    CVE-2012-3645: Martin Barbella på Google Chrome Security Team med användning av AddressSanitizer

    CVE-2012-3646: Julien Chaffraix på Chromium development community, Martin Barbella på Google Chrome Security Team med användning av AddressSanitizer

    CVE-2012-3653: Martin Barbella på Google Chrome Security Team med användning av AddressSanitizer

    CVE-2012-3655: SkyLined på Google Chrome Security Team

    CVE-2012-3656: Abhishek Arya på Google Chrome Security Team med användning av AddressSanitizer

    CVE-2012-3661: Apple Product Security

    CVE-2012-3663: SkyLined på Google Chrome Security Team

    CVE-2012-3664: Thomas Sepez på Chromium development community

    CVE-2012-3665: Martin Barbella på Google Chrome Security Team med användning av AddressSanitizer

    CVE-2012-3666: Apple

    CVE-2012-3667: Trevor Squires på propaneapp.com

    CVE-2012-3668: Apple Product Security

    CVE-2012-3669: Apple Product Security

    CVE-2012-3670: Abhishek Arya på Google Chrome Security Team med användning av AddressSanitizer, Arthur Gerkis

    CVE-2012-3674: SkyLined på Google Chrome Security Team

    CVE-2012-3678: Apple Product Security

    CVE-2012-3679: Chris Leary på Mozilla

    CVE-2012-3680: SkyLined på Google Chrome Security Team

    CVE-2012-3681: Apple

    CVE-2012-3682: Adam Barth på Google Chrome Security Team

    CVE-2012-3683: wushi i team509 i samarbete med iDefense VCP

    CVE-2012-3686: Robin Cao på Torch Mobile (Beijing)

  • WebKit

    Tillgänglig för: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Effekt: Dra och släpp av markerad text på en webbsida kan leda till att information yppas på flera platser

    Beskrivning: Ett problem med olika källor förekom i hanteringen av dra och släpp-händelser. Det här problemet åtgärdas genom förbättrad källspårning.

    CVE-ID

    CVE-2012-3689: David Bloom på Cue

  • WebKit

    Tillgänglig för: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Effekt: Dra och släpp av markerad text på en webbsida kan göra att filer från användarens system skickas till en fjärrserver

    Beskrivning: Ett problem med åtkomstkontroll förekom i hanteringen av dra och släpp-händelser. Det här problemet åtgärdas genom förbättrad källspårning.

    CVE-ID

    CVE-2012-3690: David Bloom på Cue

  • WebKit

    Tillgänglig för: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Effekt: Besök på en webbplats med skadligt innehåll kan leda till en attack via skriptangrepp över flera platser

    Beskrivning: Ett problem med olika källor förekom i hanteringen av CSS-värden. Det här problemet åtgärdas genom förbättrad källspårning.

    CVE-ID

    CVE-2012-3691: Apple

  • WebKit

    Tillgänglig för: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Effekt: En skadlig webbplats kan ersätta innehållet i en iFrame på en annan webbplats

    Beskrivning: Ett problem med olika källor förekom i hanteringen av iFrames i popupfönster. Det här problemet åtgärdas genom förbättrad källspårning.

    CVE-ID

    CVE-2011-3067: Sergey Glazunov

  • WebKit

    Tillgänglig för: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Effekt: Besök på en webbplats med skadligt innehåll kan leda till en attack via skriptangrepp över flera platser

    Beskrivning: Ett problem med olika källor förekom i hanteringen av iFrames och fragmentidentifierare. Det här problemet åtgärdas genom förbättrad källspårning.

    CVE-ID

    CVE-2012-2815: Elie Bursztein, Baptiste Gourdin, Gustav Rydstedt och Dan Boneh på Stanford University Security Laboratory

  • WebKit

    Tillgänglig för: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Problem: Dubbelgångartecken i en URL kan användas till att imitera en webbplats

    Beskrivning: IDN-stödet (International Domain Name) och Unicode-typsnitten som är inbäddade i Safari, kan ha använts för att skapa en URL som innehåller dubbelgångartecken. Dessa kan ha använts på en webbplats med skadligt innehåll för att styra användaren till en förfalskad webbplats, som ser ut att vara en riktig domän. Problemet är åtgärdat genom komplettering av WebKits lista på kända lookalike-tecken. Dubbelgångartecken återges i Punycode i adressfältet.

    CVE-ID

    CVE-2012-3693: Matt Cooley på Symantec

  • WebKit

    Tillgänglig för: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Effekt: Dra och släpp en fil till Safari kan avslöja filsystemets sökväg till filen för webbplatsen

    Beskrivning: Ett problem med avslöjande av information förekom i hanteringen av dra och släpp-filer. Det här problemet åtgärdas genom förbättrad hantering av dra och släpp-filer.

    CVE-ID

    CVE-2012-3694: Daniel Cheng på Google, Aaron Sigel på vtty.com

  • WebKit

    Tillgänglig för: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Problem: Besök på en webbplats med skadligt innehåll kan leda till en attack via skriptkörning över flera platser

    Beskrivning: Ett kanoniseringsproblem förekom i hanteringen av URL-länkar. Det kan leda till skriptkörning på flera platser som använder location.href property. Det här problemet har åtgärdats genom förbättrad URL-kanonisering.

    CVE-ID

    CVE-2012-3695: Masato Kinugawa

  • WebKit

    Tillgänglig för: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Effekt: Besök på en webbplats med skadligt innehåll kan leda till uppdelning av HTTP-begäran

    Beskrivning: Ett problem med HTTP-sidhuvud förekom i hanteringen av WebSockets. Det här problemet avhjälps genom förbättrad URL-rensning av WebSockets.

    CVE-ID

    CVE-2012-3696: David Belcher på BlackBerry Security Incident Response Team

  • WebKit

    Tillgänglig för: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Effekt: En skadlig webbplats kan ändra värdet i URL-fältet

    Beskrivning: Ett problem med skedehantering förekom i hanteringen av sessionshistorik. Navigeringar till ett fragment av den aktuella sidan kan orsaka att Safari visar felaktig information i URL-fältet. Problemet är åtgärdat genom förbättrad skedespårning under session.

    CVE-ID

    CVE-2011-2845: Jordi Chancel

  • WebKit

    Tillgänglig för: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Effekt: En angripare kan undkomma sandlådan och komma åt alla filer som den aktuella användaren har åtkomst till

    Beskrivning: Ett problem med åtkomstkontroll förekom i hanteringen av fil-URL:er. En angripare som skaffar verkställan till kod i Safari WebProcess kan kringgå sandlådan och komma åt alla filer som den aktuella användaren har åtkomst till. Det här problemet åtgärdas genom förbättrad hantering av fil-URL:er.

    CVE-ID

    CVE-2012-3697: Aaron Sigel på vtty.com

  • WebKit

    Tillgänglig för: OS X Lion 10.7.4, OS X Lion Server 10.7.4

    Effekt: Besök på en webbplats med skadligt innehåll kan leda till att minnesinnehåll avslöjas

    Beskrivning: Ett icke-initialiserat minnesåtkomstproblem förekom i hanteringen av SVG-bilder. Det här problemet åtgärdas genom förbättrad minnesinitiering.

    CVE-ID

    CVE-2012-3650: Apple

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: