Safari 6'nın güvenlik içeriği hakkında

Bu belgede, Safari 6'nın güvenlik içeriği açıklanmaktadır.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarını kullanma" başlıklı makaleye bakın.

Mümkün olduğunda, daha fazla bilgi almak amacıyla güvenlik açıklarına bakmak için CVE Kimlikleri kullanılır.

Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.

Safari 6.0

Safari
OS X Lion 10.7.4, OS X Lion Server 10.7.4 için mevcuttur
Etkisi: Kötü amaçla oluşturulmuş bir web sitesini ziyaret etmek, siteler arası betik saldırısına neden olabilir
Açıklama: feed:// URL'lerinin işlenmesinde çapraz site betik yazma sorunu vardı. Bu güncelleme feed:// URL'lerinin işlenmesini kaldırır.
CVE kimliği
CVE-2012-0678: Masato Kinugawa

Safari
OS X Lion 10.7.4, OS X Lion Server 10.7.4 için mevcuttur
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, kullanıcının sistemindeki dosyaların uzak bir sunucuya gönderilmesine neden olabilir
Açıklama: feed:// URL'lerinin işlenmesinde erişim denetimi sorunu vardı. Bu güncelleme feed:// URL'lerinin işlenmesini kaldırır.
CVE kimliği
CVE-2012-0679: vtty.com'dan Aaron Sigel

Safari
OS X Lion 10.7.4, OS X Lion Server 10.7.4 için mevcuttur
Etki: Site, otomatik tamamlamanın etkisizleştirilmesi gerektiğini belirtse de, parolalar otomatik olarak tamamlanabiliyor
Açıklama: Otomatik tamamlama özniteliği "off" (kapalı) olarak ayarlanmış olan parola giriş öğeleri otomatik olarak tamamlanıyordu. Bu güncelleme, otomatik tamamlama özelliğinin gelişmiş şekilde işlenmesiyle soruna çözüm getirir.
CVE kimliği
CVE-2012-0680: Moodle'dan Dan Poltawski

Safari İndirilenleri
OS X Lion 10.7.4, OS X Lion Server 10.7.4 için mevcuttur
Etki: Belirli web sitelerinde kötü amaçlarla oluşturulmuş dosyaları açmak, çapraz site betik yazma saldırısına neden olabilir
Açıklama: HTTP Content-Disposition başlığına ilişkin "attachment" değeri için Safari'nin sunduğu destekte bir sorun vardı. Bu başlık birçok web sitesi tarafından, siteye üçüncü şahıslarca yüklenen dosyaları (web tabanlı e-posta uygulamalarındaki ekler gibi) çalıştırmak için kullanılır. Bu başlık değeriyle çalıştırılan dosyalardaki herhangi bir betik, dosya sıralı olarak sunulmuş gibi kaynak sunucudaki diğer kaynaklara tam erişimle çalışır. Bu soruna, bu başlıkla çalıştırılan kaynakların sıralı olarak görüntülenmesinin yerine indirilmesiyle çözüm getirilir.
CVE kimliği
CVE-2011-3426: laplinker.com'dan Mickey Shkatov; Microsoft'tan ve Microsoft Vulnerability Research'ten (MSVR) Kyle Osborn, Hidetake Jo

WebKit
OS X Lion 10.7.4, OS X Lion Server 10.7.4 için mevcuttur
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: WebKit'te birden çok bellek bozulması sorunu vardı. Bu sorunlara, iyileştirilmiş bellek işleme ile çözüm getirildi.
CVE kimliği
CVE-2011-3016: miaubiz
CVE-2011-3021: Arthur Gerkis
CVE-2011-3027: miaubiz
CVE-2011-3032: Arthur Gerkis
CVE-2011-3034: Arthur Gerkis
CVE-2011-3035: iDefense VCP ile çalışan team509'dan wushi, Arthur Gerkis
CVE-2011-3036: miaubiz
CVE-2011-3037: miaubiz
CVE-2011-3038: miaubiz
CVE-2011-3039: miaubiz
CVE-2011-3040: miaubiz
CVE-2011-3041: miaubiz
CVE-2011-3042: miaubiz
CVE-2011-3043: miaubiz
CVE-2011-3044: Arthur Gerkis
CVE-2011-3050: miaubiz
CVE-2011-3053: miaubiz
CVE-2011-3059: Arthur Gerkis
CVE-2011-3060: miaubiz
CVE-2011-3064: OUSPG'den Atte Kettunen
CVE-2011-3068: miaubiz
CVE-2011-3069: miaubiz
CVE-2011-3071: HP'nin Zero Day Initiative'i ile çalışan pa_kt
CVE-2011-3073: Arthur Gerkis
CVE-2011-3074: Slawomir Blazek
CVE-2011-3075: miaubiz
CVE-2011-3076: miaubiz
CVE-2011-3078: Google Chrome Güvenlik Ekibi'nden Chris Evans
CVE-2011-3081: miaubiz
CVE-2011-3086: Arthur Gerkis
CVE-2011-3089: Google Chrome Güvenlik Ekibi'nden Skylined, miaubiz
CVE-2011-3090: Arthur Gerkis
CVE-2011-3913: Arthur Gerkis
CVE-2011-3924: Arthur Gerkis
CVE-2011-3926: Arthur Gerkis
CVE-2011-3958: miaubiz
CVE-2011-3966: OUSPG'den Aki Helin
CVE-2011-3968: Arthur Gerkis
CVE-2011-3969: Arthur Gerkis
CVE-2011-3971: Arthur Gerkis
CVE-2012-0682: Apple Ürün Güvenliği
CVE-2012-0683: Mozilla'dan Dave Mandelin
CVE-2012-1520: Google Chrome Güvenlik Ekibi'nden AddressSanitizer kullanan Martin Barbella, spa-s3c.blogspot.com'dan iDefense VCP ile çalışan Jose A. Vazquez
CVE-2012-1521: Google Chrome Güvenlik Ekibi'nden Skylined, spa-s3c.blogspot.com'dan iDefense VCP ile çalışan Jose A. Vazquez
CVE-2012-3589: Mozilla'dan Dave Mandelin
CVE-2012-3590: Apple Ürün Güvenliği
CVE-2012-3591: Apple Ürün Güvenliği
CVE-2012-3592: Apple Ürün Güvenliği
CVE-2012-3593: Apple Ürün Güvenliği
CVE-2012-3594: miaubiz
CVE-2012-3595: Google Chrome Güvenlik Ekibi'nden Martin Barbella
CVE-2012-3596: Google Chrome Güvenlik Ekibi'nden Skylined
CVE-2012-3597: AddressSanitizer kullanan Google Chrome Güvenlik Ekibi'nden Abhishek Arya
CVE-2012-3599: AddressSanitizer kullanan Google Chrome Güvenlik Ekibi'nden Abhishek Arya
CVE-2012-3600: Chromium geliştirme topluluğundan David Levin
CVE-2012-3603: Apple Ürün Güvenliği
CVE-2012-3604: Google Chrome Güvenlik Ekibi'nden Skylined
CVE-2012-3605: Google Chrome Güvenlik ekibinden Cris Neckar
CVE-2012-3608: Google Chrome Güvenlik Ekibi'nden Skylined
CVE-2012-3609: Google Chrome Güvenlik Ekibi'nden Skylined
CVE-2012-3610: Google Chrome Güvenlik Ekibi'nden Skylined
CVE-2012-3611: Apple Ürün Güvenliği
CVE-2012-3615: Chromium geliştirme topluluğundan Stephen Chenney
CVE-2012-3618: AddressSanitizer kullanan Google Chrome Güvenlik Ekibi'nden Abhishek Arya
CVE-2012-3620: Google Chrome Güvenlik Ekibi'nden Abhishek Arya
CVE-2012-3625: Google Chrome Güvenlik Ekibi'nden Skylined
CVE-2012-3626: Apple Ürün Güvenliği
CVE-2012-3627: Google Chrome Güvenlik ekibinden Skylined ve Abhishek Arya
CVE-2012-3628: Apple Ürün Güvenliği
CVE-2012-3629: AddressSanitizer kullanan Google Chrome Güvenlik Ekibi'nden Abhishek Arya
CVE-2012-3630: AddressSanitizer kullanan Google Chrome Güvenlik Ekibi'nden Abhishek Arya
CVE-2012-3631: AddressSanitizer kullanan Google Chrome Güvenlik Ekibi'nden Abhishek Arya
CVE-2012-3633: Google Chrome Güvenlik Ekibi'nden AddressSanitizer kullanan Martin Barbella
CVE-2012-3634: Google Chrome Güvenlik Ekibi'nden AddressSanitizer kullanan Martin Barbella
CVE-2012-3635: Google Chrome Güvenlik Ekibi'nden AddressSanitizer kullanan Martin Barbella
CVE-2012-3636: Google Chrome Güvenlik Ekibi'nden AddressSanitizer kullanan Martin Barbella
CVE-2012-3637: Google Chrome Güvenlik Ekibi'nden AddressSanitizer kullanan Martin Barbella
CVE-2012-3638: Google Chrome Güvenlik Ekibi'nden AddressSanitizer kullanan Martin Barbella
CVE-2012-3639: Google Chrome Güvenlik Ekibi'nden AddressSanitizer kullanan Martin Barbella
CVE-2012-3640: miaubiz
CVE-2012-3641: Slawomir Blazek
CVE-2012-3642: miaubiz
CVE-2012-3644: miaubiz
CVE-2012-3645: Google Chrome Güvenlik Ekibi'nden AddressSanitizer kullanan Martin Barbella
CVE-2012-3646: Chromium geliştirme topluluğundan Julien Chaffraix, Google Chrome Güvenlik Ekibi'nden AddressSanitizer kullanan Martin Barbella
CVE-2012-3653: Google Chrome Güvenlik Ekibi'nden AddressSanitizer kullanan Martin Barbella
CVE-2012-3655: Google Chrome Güvenlik Ekibi'nden Skylined
CVE-2012-3656: AddressSanitizer kullanan Google Chrome Güvenlik Ekibi'nden Abhishek Arya
CVE-2012-3661: Apple Ürün Güvenliği
CVE-2012-3663: Google Chrome Güvenlik Ekibi'nden Skylined
CVE-2012-3664: Chromium geliştirme topluluğundan Thomas Sepez
CVE-2012-3665: Google Chrome Güvenlik Ekibi'nden AddressSanitizer kullanan Martin Barbella
CVE-2012-3666: Apple
CVE-2012-3667: propaneapp.com'dan Trevor Squires
CVE-2012-3668: Apple Ürün Güvenliği
CVE-2012-3669: Apple Ürün Güvenliği
CVE-2012-3670: AddressSanitizer kullanan Google Chrome Güvenlik Ekibi'nden Abhishek Arya, Arthur Gerkis
CVE-2012-3674: Google Chrome Güvenlik Ekibi'nden Skylined
CVE-2012-3678: Apple Ürün Güvenliği
CVE-2012-3679: Mozilla'dan Chris Leary
CVE-2012-3680: Google Chrome Güvenlik Ekibi'nden Skylined
CVE-2012-3681: Apple
CVE-2012-3682: Google Chrome Güvenlik Ekibi'nden Adam Barth
CVE-2012-3683: team509'dan iDefense VCP ile çalışan wushi
CVE-2012-3686: Torch Mobile'dan (Beijing) Robin Cao

WebKit
OS X Lion 10.7.4, OS X Lion Server 10.7.4 için mevcuttur
Etki: Bir web sayfasındaki seçili metni sürükleyip bırakmak çapraz site bilgilerinin açığa çıkmasına neden olabilir
Açıklama: Etkinlikleri sürükleyip bırakmanın işlenmesinde çapraz kaynak sorunu. Bu soruna, iyileştirilmiş kaynak izlemeyle çözüm getirildi.
CVE kimliği
CVE-2012-3689: Cue'den David Bloom

WebKit
OS X Lion 10.7.4, OS X Lion Server 10.7.4 için mevcuttur
Etki: Bir web sayfasındaki seçili metni sürükleyip bırakmak, kullanıcının sistemindeki dosyaların uzak bir sunucuya gönderilmesine neden olabilir
Açıklama: Etkinlikleri sürükleyip bırakmanın işlenmesinde erişim denetimi sorunu vardı. Bu soruna, iyileştirilmiş kaynak izlemeyle çözüm getirildi.
CVE kimliği
CVE-2012-3690: Cue'den David Bloom

WebKit
OS X Lion 10.7.4, OS X Lion Server 10.7.4 için mevcuttur
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, çapraz sitelerde hassas bilgilerin açığa çıkmasına neden olabilir
Açıklama: CSS özellik değerlerinin işlenmesinde çapraz kaynak sorunu vardı. Bu soruna, iyileştirilmiş kaynak izlemeyle çözüm getirildi.
CVE kimliği
CVE-2012-3691: Apple

WebKit
OS X Lion 10.7.4, OS X Lion Server 10.7.4 için mevcuttur
Etki: Kötü amaçlı bir web sitesi, başka bir sitedeki iframe'in içeriğini değiştirebilir
Açıklama: Açılır pencerelerde iframe'lerin işlenmesinde çapraz kaynak sorunu. Bu soruna, iyileştirilmiş kaynak izlemeyle çözüm getirildi.
CVE kimliği
CVE-2011-3067: Sergey Glazunov

WebKit
OS X Lion 10.7.4, OS X Lion Server 10.7.4 için mevcuttur
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, çapraz sitelerde hassas bilgilerin açığa çıkmasına neden olabilir
Açıklama: iframe'lerin ve parça tanımlayıcılarının işlenmesinde çapraz kaynak sorunu. Bu soruna, iyileştirilmiş kaynak izlemeyle çözüm getirildi.
CVE kimliği
CVE-2012-2815: Stanford University Security Laboratory'den Elie Bursztein, Baptiste Gourdin, Gustav Rydstedt ve Dan Boneh

WebKit
OS X Lion 10.7.4, OS X Lion Server 10.7.4 için mevcuttur
Etki: Bir URL'deki çok benzer karakterler, bir web sitesini başka bir web sitesi gibi göstermek için kullanılabiliyordu
Açıklama: Uluslararası Etki Alanı Adı (IDN) desteği ve Safari'de gömülü Unicode fontlar, çok benzer karakterler içeren bir URL oluşturmak için kullanılabiliyordu. Bunlar, kötü amaçlı bir web sitesinde, kullanıcıyı görsel olarak yasal bir etki alanı gibi görünen yanıltıcı bir siteye yönlendirebiliyordu. Bu soruna, WebKit'in bilinen çok benzer karakterler listesinin eklenmesiyle çözüm getirildi. Çok benzer karakterler, adres çubuğundaki Punycode'da işlenir.
CVE kimliği
CVE-2012-3693: Symantec'ten Matt Cooley

WebKit
OS X Lion 10.7.4, OS X Lion Server 10.7.4 için mevcuttur
Etki: Safari'ye dosya sürükleyip bırakmak, web sitesine dosyanın dosya sistem yolunu açıklayabilir
Açıklama: Sürüklenen dosyaların işlenmesinde bilgilerin açığa çıkması sorunu vardı. Bu soruna, sürüklenen dosyaların iyileştirilmiş şekilde işlenmesiyle çözüm getirildi.
CVE kimliği
CVE-2012-3694: Google'dan Daniel Cheng, vtty.com'dan Aaron Sigel

WebKit
OS X Lion 10.7.4, OS X Lion Server 10.7.4 için mevcuttur
Etkisi: Kötü amaçla oluşturulmuş bir web sitesini ziyaret etmek, siteler arası betik saldırısına neden olabilir
Açıklama: URL'lerin işlenmesinde kanonikleştirme sorunu vardı. Bu, location.href özelliğini kullanan sitelerde çapraz site betik yazmaya yol açmış olabilir. Bu soruna, URL'lerin iyileştirilmiş kanonikleştirmesiyle çözüm getirildi.
CVE kimliği
CVE-2012-3695: Masato Kinugawa

WebKit
OS X Lion 10.7.4, OS X Lion Server 10.7.4 için mevcuttur
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, HTTP istek ayrılmasına neden olabilir
Açıklama: WebSocket'lerin işlenmesinde HTTP başlığı enjeksiyon sorunu. Bu soruna, iyileştirilmiş WebSocket'leri URI temizlemesiyle çözüm getirildi.
CVE kimliği
CVE-2012-3696: BlackBerry Security Incident Response Team'den David Belcher

WebKit
OS X Lion 10.7.4, OS X Lion Server 10.7.4 için mevcuttur
Etki: Kötü amaçla oluşturulmuş bir web sitesi, URL çubuğundaki değeri yanıltabilir
Açıklama: Oturum geçmişinin işlenmesinde durum yönetimi sorunu. Geçerli sayfadaki bir parçaya gitmeler, Safari'nin URL çubuğunda yanlış bilgi görüntülemesinde neden olabilir. Bu soruna, iyileştirilmiş oturum durumu izlemeyle çözüm getirildi.
CVE kimliği
CVE-2011-2845: Jordi Chancel

WebKit
OS X Lion 10.7.4, Lion Server 10.7.4 için mevcuttur
Etki: Bir saldırgan korumalı alandan kaçabilir ve geçerli kullanıcının erişim sahibi olduğu dosyalara erişebilir
Açıklama: Dosya URL'lerinin işlenmesinde erişim denetimi sorunu vardı. Safari WebProcess'te rastgele kod yürütme fırsatını elde eden bir saldırgan korumalı alanı atlatabilir ve Safari çalıştıran kullanıcının erişim sahibi olduğu dosyalara erişebilir. Bu soruna, URL'lerin iyileştirilmiş işlenmesiyle çözüm getirildi.
CVE kimliği
CVE-2012-3697: vtty.com'dan Aaron Sigel

WebKit
OS X Lion 10.7.4, Lion Server 10.7.4 için mevcuttur
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, bellek içeriğinin açığa çıkarılmasının açığa çıkmasına neden olabilir
Açıklama: SVG görüntülerinin işlenmesinde sıfırlanmamış bellek erişimi sorunu vardı. Bu soruna, iyileştirilmiş bellek sıfırlamayla çözüm getirildi.
CVE kimliği
CVE-2012-3650: Apple

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: 3 Kasım 2023