เกี่ยวกับเนื้อหาด้านความปลอดภัยของ Safari 6.0.5

เอกสารฉบับนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ Safari 6.0.5

สามารถดาวน์โหลดและติดตั้ง Safari 6.0.5 ได้ทางการตั้งค่าการอัปเดตซอฟต์แวร์ หรือจากดาวน์โหลดของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบแบบเต็มรูปแบบ และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่การรักษาความปลอดภัยของผลิตภัณฑ์ Apple ในเว็บไซต์

ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ที่ "วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้

ดูเกี่ยวกับรายการอัปเดตความปลอดภัยอื่นๆ ได้ที่ "รายการอัปเดตความปลอดภัยของ Apple"

Safari 6.0.5

• WebKit

  อุปกรณ์ที่อาจได้รับผลกระทบ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.3

  ผลกระทบ: การเข้าไปยังเว็บไซต์ที่ออกแบบมาเพื่อมุ่งร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการใช้โค้ดโดยอำเภอใจ

  คำอธิบาย: มีปัญหาหน่วยความจำเสียหายใน WebKit ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

  CVE-ID

  CVE-2013-0879 : Atte Kettunen จาก OUSPG

  CVE-2013-0991 : Jay Civelli จากชุมชนเพื่อการพัฒนา Chromium

  CVE-2013-0992 : ทีมรักษาความปลอดภัยของ Google Chrome (Martin Barbella)

  CVE-2013-0993 : ทีมรักษาความปลอดภัยของ Google Chrome (Inferno)

  CVE-2013-0994 : David German จาก Google

  CVE-2013-0995 : ทีมรักษาความปลอดภัยของ Google Chrome (Inferno)

  CVE-2013-0996 : ทีมรักษาความปลอดภัยของ Google Chrome (Inferno)

  CVE-2013-0997 : Vitaliy Toropov ซึ่งทำงานร่วมกับ Zero Day Initiative ของ HP

  CVE-2013-0998 : pa_kt ซึ่งทำงานร่วมกับ Zero Day Initiative ของ HP

  CVE-2013-0999 : pa_kt working ซึ่งทำงานร่วมกับ Zero Day Initiative ของ HP

  CVE-2013-1000 : Fermin J. Serna จากทีมรักษาความปลอดภัยของ Google Chrome

  CVE-2013-1001 : Ryan Humenick

  CVE-2013-1002 : Sergey Glazunov

  CVE-2013-1003 : ทีมรักษาความปลอดภัยของ Google (Inferno)

  CVE-2013-1004 : ทีมรักษาความปลอดภัยของ Google Chrome (Martin Barbella)

  CVE-2013-1005 : ทีมรักษาความปลอดภัยของ Google Chrome (Martin Barbella)

  CVE-2013-1006 : ทีมรักษาความปลอดภัยของ Google Chrome (Martin Barbella)

  CVE-2013-1007 : ทีมรักษาความปลอดภัยของ Google Chrome (Inferno)

  CVE-2013-1008 : Sergey Glazunov

  CVE-2013-1009 : Apple

  CVE-2013-1010 : miaubiz

  CVE-2013-1011 : ทีมรักษาความปลอดภัยของ Google Chrome (Inferno)

  CVE-2013-1023 : ทีมรักษาความปลอดภัยของ Google Chrome (Inferno)

• WebKit

  อุปกรณ์ที่อาจได้รับผลกระทบ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.3

  ผลกระทบ: การไปยังเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดภัยคุกคามแบบแฝงสคริปต์ (Cross-site Scripting) ได้

  คำอธิบาย: มีปัญหาภัยคุกคามแบบแฝงสคริปต์ (cross-site scripting attack) ใน iframe ปัญหานี้ได้รับการแก้ไขแล้วผ่านการติดตามจุดเริ่มต้นให้ดียิ่งขึ้น

  CVE-ID

  CVE-2013-1012 : Subodh Iyengar และ Erling Ellingsen จาก Facebook

• WebKit

  มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.3

  ผลกระทบ: การคัดลอกและวางส่วนย่อย HTML ที่ประสงค์ร้ายอาจทำให้เกิดภัยคุกคามแบบแฝงสคริปต์ (Cross-site scripting attack) ได้

  คำอธิบาย: มีปัญหาการแฝงสคริปต์ (Cross-site scripting) ในการจัดการข้อมูลในเอกสาร HTML ที่มีการคัดลอกและวาง ปัญหานี้ได้รับการแก้ไขด้วยการตรวจสอบยืนยันเนื้อหาที่ส่งผ่านเพิ่มเติม

  CVE-ID

  CVE-2013-0926 : Aditya Gupta, Subho Halder และ Dev Kar จาก xys3c (xysec.com)

• WebKit

  อุปกรณ์ที่อาจได้รับผลกระทบ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.3

  ผลกระทบ: การเข้าไปในลิงก์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การทำงานที่ผิดปกติบนไซต์เป้าหมาย

  คำอธิบาย: ตัวตรวจสอบ XSS อาจเขียน URL ใหม่เพื่อป้องกันการโจมตีแบบแฝงสคริปต์ (Cross-site Scripting) ซึ่งอาจทำให้มีการเปลี่ยนแปลงการทำงานที่ประสงค์ร้ายของการส่งแบบฟอร์ม ปัญหานี้ได้รับการแก้ไขด้วยการตรวจสอบ URL ที่ปรับปรุงให้ดีขึ้น

  CVE-ID

  CVE-2013-1013 : Sam Power จาก Pentest Limited