Safari 6'nın güvenlik içeriği hakkında

Bu belgede, Safari 6'nın güvenlik içeriği açıklanmaktadır.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarını kullanma" başlıklı makaleye bakın.

Mümkün olduğunda, daha fazla bilgi almak amacıyla güvenlik açıklarına bakmak için CVE Kimlikleri kullanılır.

Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.

Safari 6.0

  • Safari

    OS X Lion 10.7.4, OS X Lion Server 10.7.4 için mevcuttur

    Etkisi: Kötü amaçla oluşturulmuş bir web sitesini ziyaret etmek, siteler arası betik saldırısına neden olabilir

    Açıklama: feed:// URL'lerinin işlenmesinde çapraz site betik yazma sorunu vardı. Bu güncelleme feed:// URL'lerinin işlenmesini kaldırır.

    CVE kimliği

    CVE-2012-0678: Masato Kinugawa

  • Safari

    OS X Lion 10.7.4, OS X Lion Server 10.7.4 için mevcuttur

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, kullanıcının sistemindeki dosyaların uzak bir sunucuya gönderilmesine neden olabilir

    Açıklama: feed:// URL'lerinin işlenmesinde erişim denetimi sorunu vardı. Bu güncelleme feed:// URL'lerinin işlenmesini kaldırır.

    CVE kimliği

    CVE-2012-0679: vtty.com'dan Aaron Sigel

  • Safari

    OS X Lion 10.7.4, OS X Lion Server 10.7.4 için mevcuttur

    Etki: Site, otomatik tamamlamanın etkisizleştirilmesi gerektiğini belirtse de, parolalar otomatik olarak tamamlanabiliyor

    Açıklama: Otomatik tamamlama özniteliği "off" (kapalı) olarak ayarlanmış olan parola giriş öğeleri otomatik olarak tamamlanıyordu. Bu güncelleme, otomatik tamamlama özelliğinin gelişmiş şekilde işlenmesiyle soruna çözüm getirir.

    CVE kimliği

    CVE-2012-0680: Moodle'dan Dan Poltawski

  • Safari İndirilenleri

    OS X Lion 10.7.4, OS X Lion Server 10.7.4 için mevcuttur

    Etki: Belirli web sitelerinde kötü amaçlarla oluşturulmuş dosyaları açmak, çapraz site betik yazma saldırısına neden olabilir

    Açıklama: HTTP Content-Disposition başlığına ilişkin "attachment" değeri için Safari'nin sunduğu destekte bir sorun vardı. Bu başlık birçok web sitesi tarafından, siteye üçüncü şahıslarca yüklenen dosyaları (web tabanlı e-posta uygulamalarındaki ekler gibi) çalıştırmak için kullanılır. Bu başlık değeriyle çalıştırılan dosyalardaki herhangi bir betik, dosya sıralı olarak sunulmuş gibi kaynak sunucudaki diğer kaynaklara tam erişimle çalışır. Bu soruna, bu başlıkla çalıştırılan kaynakların sıralı olarak görüntülenmesinin yerine indirilmesiyle çözüm getirilir.

    CVE kimliği

    CVE-2011-3426: laplinker.com'dan Mickey Shkatov; Microsoft'tan ve Microsoft Vulnerability Research'ten (MSVR) Kyle Osborn, Hidetake Jo

  • WebKit

    OS X Lion 10.7.4, OS X Lion Server 10.7.4 için mevcuttur

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: WebKit'te birden çok bellek bozulması sorunu vardı. Bu sorunlara, iyileştirilmiş bellek işleme ile çözüm getirildi.

    CVE kimliği

    CVE-2011-3016: miaubiz

    CVE-2011-3021: Arthur Gerkis

    CVE-2011-3027: miaubiz

    CVE-2011-3032: Arthur Gerkis

    CVE-2011-3034: Arthur Gerkis

    CVE-2011-3035: iDefense VCP ile çalışan team509'dan wushi, Arthur Gerkis

    CVE-2011-3036: miaubiz

    CVE-2011-3037: miaubiz

    CVE-2011-3038: miaubiz

    CVE-2011-3039: miaubiz

    CVE-2011-3040: miaubiz

    CVE-2011-3041: miaubiz

    CVE-2011-3042: miaubiz

    CVE-2011-3043: miaubiz

    CVE-2011-3044: Arthur Gerkis

    CVE-2011-3050: miaubiz

    CVE-2011-3053: miaubiz

    CVE-2011-3059: Arthur Gerkis

    CVE-2011-3060: miaubiz

    CVE-2011-3064: OUSPG'den Atte Kettunen

    CVE-2011-3068: miaubiz

    CVE-2011-3069: miaubiz

    CVE-2011-3071: HP'nin Zero Day Initiative'i ile çalışan pa_kt

    CVE-2011-3073: Arthur Gerkis

    CVE-2011-3074: Slawomir Blazek

    CVE-2011-3075: miaubiz

    CVE-2011-3076: miaubiz

    CVE-2011-3078: Google Chrome Güvenlik Ekibi'nden Chris Evans

    CVE-2011-3081: miaubiz

    CVE-2011-3086: Arthur Gerkis

    CVE-2011-3089: Google Chrome Güvenlik Ekibi'nden Skylined, miaubiz

    CVE-2011-3090: Arthur Gerkis

    CVE-2011-3913: Arthur Gerkis

    CVE-2011-3924: Arthur Gerkis

    CVE-2011-3926: Arthur Gerkis

    CVE-2011-3958: miaubiz

    CVE-2011-3966: OUSPG'den Aki Helin

    CVE-2011-3968: Arthur Gerkis

    CVE-2011-3969: Arthur Gerkis

    CVE-2011-3971: Arthur Gerkis

    CVE-2012-0682: Apple Ürün Güvenliği

    CVE-2012-0683: Mozilla'dan Dave Mandelin

    CVE-2012-1520: Google Chrome Güvenlik Ekibi'nden AddressSanitizer kullanan Martin Barbella, spa-s3c.blogspot.com'dan iDefense VCP ile çalışan Jose A. Vazquez

    CVE-2012-1521: Google Chrome Güvenlik Ekibi'nden Skylined, spa-s3c.blogspot.com'dan iDefense VCP ile çalışan Jose A. Vazquez

    CVE-2012-3589: Mozilla'dan Dave Mandelin

    CVE-2012-3590: Apple Ürün Güvenliği

    CVE-2012-3591: Apple Ürün Güvenliği

    CVE-2012-3592: Apple Ürün Güvenliği

    CVE-2012-3593: Apple Ürün Güvenliği

    CVE-2012-3594: miaubiz

    CVE-2012-3595: Google Chrome Güvenlik Ekibi'nden Martin Barbella

    CVE-2012-3596: Google Chrome Güvenlik Ekibi'nden Skylined

    CVE-2012-3597: AddressSanitizer kullanan Google Chrome Güvenlik Ekibi'nden Abhishek Arya

    CVE-2012-3599: AddressSanitizer kullanan Google Chrome Güvenlik Ekibi'nden Abhishek Arya

    CVE-2012-3600: Chromium geliştirme topluluğundan David Levin

    CVE-2012-3603: Apple Ürün Güvenliği

    CVE-2012-3604: Google Chrome Güvenlik Ekibi'nden Skylined

    CVE-2012-3605: Google Chrome Güvenlik ekibinden Cris Neckar

    CVE-2012-3608: Google Chrome Güvenlik Ekibi'nden Skylined

    CVE-2012-3609: Google Chrome Güvenlik Ekibi'nden Skylined

    CVE-2012-3610: Google Chrome Güvenlik Ekibi'nden Skylined

    CVE-2012-3611: Apple Ürün Güvenliği

    CVE-2012-3615: Chromium geliştirme topluluğundan Stephen Chenney

    CVE-2012-3618: AddressSanitizer kullanan Google Chrome Güvenlik Ekibi'nden Abhishek Arya

    CVE-2012-3620: Google Chrome Güvenlik Ekibi'nden Abhishek Arya

    CVE-2012-3625: Google Chrome Güvenlik Ekibi'nden Skylined

    CVE-2012-3626: Apple Ürün Güvenliği

    CVE-2012-3627: Google Chrome Güvenlik ekibinden Skylined ve Abhishek Arya

    CVE-2012-3628: Apple Ürün Güvenliği

    CVE-2012-3629: AddressSanitizer kullanan Google Chrome Güvenlik Ekibi'nden Abhishek Arya

    CVE-2012-3630: AddressSanitizer kullanan Google Chrome Güvenlik Ekibi'nden Abhishek Arya

    CVE-2012-3631: AddressSanitizer kullanan Google Chrome Güvenlik Ekibi'nden Abhishek Arya

    CVE-2012-3633: Google Chrome Güvenlik Ekibi'nden AddressSanitizer kullanan Martin Barbella

    CVE-2012-3634: Google Chrome Güvenlik Ekibi'nden AddressSanitizer kullanan Martin Barbella

    CVE-2012-3635: Google Chrome Güvenlik Ekibi'nden AddressSanitizer kullanan Martin Barbella

    CVE-2012-3636: Google Chrome Güvenlik Ekibi'nden AddressSanitizer kullanan Martin Barbella

    CVE-2012-3637: Google Chrome Güvenlik Ekibi'nden AddressSanitizer kullanan Martin Barbella

    CVE-2012-3638: Google Chrome Güvenlik Ekibi'nden AddressSanitizer kullanan Martin Barbella

    CVE-2012-3639: Google Chrome Güvenlik Ekibi'nden AddressSanitizer kullanan Martin Barbella

    CVE-2012-3640: miaubiz

    CVE-2012-3641: Slawomir Blazek

    CVE-2012-3642: miaubiz

    CVE-2012-3644: miaubiz

    CVE-2012-3645: Google Chrome Güvenlik Ekibi'nden AddressSanitizer kullanan Martin Barbella

    CVE-2012-3646: Chromium geliştirme topluluğundan Julien Chaffraix, Google Chrome Güvenlik Ekibi'nden AddressSanitizer kullanan Martin Barbella

    CVE-2012-3653: Google Chrome Güvenlik Ekibi'nden AddressSanitizer kullanan Martin Barbella

    CVE-2012-3655: Google Chrome Güvenlik Ekibi'nden Skylined

    CVE-2012-3656: AddressSanitizer kullanan Google Chrome Güvenlik Ekibi'nden Abhishek Arya

    CVE-2012-3661: Apple Ürün Güvenliği

    CVE-2012-3663: Google Chrome Güvenlik Ekibi'nden Skylined

    CVE-2012-3664: Chromium geliştirme topluluğundan Thomas Sepez

    CVE-2012-3665: Google Chrome Güvenlik Ekibi'nden AddressSanitizer kullanan Martin Barbella

    CVE-2012-3666: Apple

    CVE-2012-3667: propaneapp.com'dan Trevor Squires

    CVE-2012-3668: Apple Ürün Güvenliği

    CVE-2012-3669: Apple Ürün Güvenliği

    CVE-2012-3670: AddressSanitizer kullanan Google Chrome Güvenlik Ekibi'nden Abhishek Arya, Arthur Gerkis

    CVE-2012-3674: Google Chrome Güvenlik Ekibi'nden Skylined

    CVE-2012-3678: Apple Ürün Güvenliği

    CVE-2012-3679: Mozilla'dan Chris Leary

    CVE-2012-3680: Google Chrome Güvenlik Ekibi'nden Skylined

    CVE-2012-3681: Apple

    CVE-2012-3682: Google Chrome Güvenlik Ekibi'nden Adam Barth

    CVE-2012-3683: team509'dan iDefense VCP ile çalışan wushi

    CVE-2012-3686: Torch Mobile'dan (Beijing) Robin Cao

  • WebKit

    OS X Lion 10.7.4, OS X Lion Server 10.7.4 için mevcuttur

    Etki: Bir web sayfasındaki seçili metni sürükleyip bırakmak çapraz site bilgilerinin açığa çıkmasına neden olabilir

    Açıklama: Etkinlikleri sürükleyip bırakmanın işlenmesinde çapraz kaynak sorunu. Bu soruna, iyileştirilmiş kaynak izlemeyle çözüm getirildi.

    CVE kimliği

    CVE-2012-3689: Cue'den David Bloom

  • WebKit

    OS X Lion 10.7.4, OS X Lion Server 10.7.4 için mevcuttur

    Etki: Bir web sayfasındaki seçili metni sürükleyip bırakmak, kullanıcının sistemindeki dosyaların uzak bir sunucuya gönderilmesine neden olabilir

    Açıklama: Etkinlikleri sürükleyip bırakmanın işlenmesinde erişim denetimi sorunu vardı. Bu soruna, iyileştirilmiş kaynak izlemeyle çözüm getirildi.

    CVE kimliği

    CVE-2012-3690: Cue'den David Bloom

  • WebKit

    OS X Lion 10.7.4, OS X Lion Server 10.7.4 için mevcuttur

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, çapraz sitelerde hassas bilgilerin açığa çıkmasına neden olabilir

    Açıklama: CSS özellik değerlerinin işlenmesinde çapraz kaynak sorunu vardı. Bu soruna, iyileştirilmiş kaynak izlemeyle çözüm getirildi.

    CVE kimliği

    CVE-2012-3691: Apple

  • WebKit

    OS X Lion 10.7.4, OS X Lion Server 10.7.4 için mevcuttur

    Etki: Kötü amaçlı bir web sitesi, başka bir sitedeki iframe'in içeriğini değiştirebilir

    Açıklama: Açılır pencerelerde iframe'lerin işlenmesinde çapraz kaynak sorunu. Bu soruna, iyileştirilmiş kaynak izlemeyle çözüm getirildi.

    CVE kimliği

    CVE-2011-3067: Sergey Glazunov

  • WebKit

    OS X Lion 10.7.4, OS X Lion Server 10.7.4 için mevcuttur

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, çapraz sitelerde hassas bilgilerin açığa çıkmasına neden olabilir

    Açıklama: iframe'lerin ve parça tanımlayıcılarının işlenmesinde çapraz kaynak sorunu. Bu soruna, iyileştirilmiş kaynak izlemeyle çözüm getirildi.

    CVE kimliği

    CVE-2012-2815: Stanford University Security Laboratory'den Elie Bursztein, Baptiste Gourdin, Gustav Rydstedt ve Dan Boneh

  • WebKit

    OS X Lion 10.7.4, OS X Lion Server 10.7.4 için mevcuttur

    Etki: Bir URL'deki çok benzer karakterler, bir web sitesini başka bir web sitesi gibi göstermek için kullanılabiliyordu

    Açıklama: Uluslararası Etki Alanı Adı (IDN) desteği ve Safari'de gömülü Unicode fontlar, çok benzer karakterler içeren bir URL oluşturmak için kullanılabiliyordu. Bunlar, kötü amaçlı bir web sitesinde, kullanıcıyı görsel olarak yasal bir etki alanı gibi görünen yanıltıcı bir siteye yönlendirebiliyordu. Bu soruna, WebKit'in bilinen çok benzer karakterler listesinin eklenmesiyle çözüm getirildi. Çok benzer karakterler, adres çubuğundaki Punycode'da işlenir.

    CVE kimliği

    CVE-2012-3693: Symantec'ten Matt Cooley

  • WebKit

    OS X Lion 10.7.4, OS X Lion Server 10.7.4 için mevcuttur

    Etki: Safari'ye dosya sürükleyip bırakmak, web sitesine dosyanın dosya sistem yolunu açıklayabilir

    Açıklama: Sürüklenen dosyaların işlenmesinde bilgilerin açığa çıkması sorunu vardı. Bu soruna, sürüklenen dosyaların iyileştirilmiş şekilde işlenmesiyle çözüm getirildi.

    CVE kimliği

    CVE-2012-3694: Google'dan Daniel Cheng, vtty.com'dan Aaron Sigel

  • WebKit

    OS X Lion 10.7.4, OS X Lion Server 10.7.4 için mevcuttur

    Etkisi: Kötü amaçla oluşturulmuş bir web sitesini ziyaret etmek, siteler arası betik saldırısına neden olabilir

    Açıklama: URL'lerin işlenmesinde kanonikleştirme sorunu vardı. Bu, location.href özelliğini kullanan sitelerde çapraz site betik yazmaya yol açmış olabilir. Bu soruna, URL'lerin iyileştirilmiş kanonikleştirmesiyle çözüm getirildi.

    CVE kimliği

    CVE-2012-3695: Masato Kinugawa

  • WebKit

    OS X Lion 10.7.4, OS X Lion Server 10.7.4 için mevcuttur

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, HTTP istek ayrılmasına neden olabilir

    Açıklama: WebSocket'lerin işlenmesinde HTTP başlığı enjeksiyon sorunu. Bu soruna, iyileştirilmiş WebSocket'leri URI temizlemesiyle çözüm getirildi.

    CVE kimliği

    CVE-2012-3696: BlackBerry Security Incident Response Team'den David Belcher

  • WebKit

    OS X Lion 10.7.4, OS X Lion Server 10.7.4 için mevcuttur

    Etki: Kötü amaçla oluşturulmuş bir web sitesi, URL çubuğundaki değeri yanıltabilir

    Açıklama: Oturum geçmişinin işlenmesinde durum yönetimi sorunu. Geçerli sayfadaki bir parçaya gitmeler, Safari'nin URL çubuğunda yanlış bilgi görüntülemesinde neden olabilir. Bu soruna, iyileştirilmiş oturum durumu izlemeyle çözüm getirildi.

    CVE kimliği

    CVE-2011-2845: Jordi Chancel

  • WebKit

    OS X Lion 10.7.4, Lion Server 10.7.4 için mevcuttur

    Etki: Bir saldırgan korumalı alandan kaçabilir ve geçerli kullanıcının erişim sahibi olduğu dosyalara erişebilir

    Açıklama: Dosya URL'lerinin işlenmesinde erişim denetimi sorunu vardı. Safari WebProcess'te rastgele kod yürütme fırsatını elde eden bir saldırgan korumalı alanı atlatabilir ve Safari çalıştıran kullanıcının erişim sahibi olduğu dosyalara erişebilir. Bu soruna, URL'lerin iyileştirilmiş işlenmesiyle çözüm getirildi.

    CVE kimliği

    CVE-2012-3697: vtty.com'dan Aaron Sigel

  • WebKit

    OS X Lion 10.7.4, Lion Server 10.7.4 için mevcuttur

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, bellek içeriğinin açığa çıkarılmasının açığa çıkmasına neden olabilir

    Açıklama: SVG görüntülerinin işlenmesinde sıfırlanmamış bellek erişimi sorunu vardı. Bu soruna, iyileştirilmiş bellek sıfırlamayla çözüm getirildi.

    CVE kimliği

    CVE-2012-3650: Apple

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler öneri veya onay alınmadan sağlanır. Apple üçüncü taraf web sitelerinin veya ürünlerinin seçimi, performansı veya kullanımıyla ilgili hiçbir sorumluluk almaz. Apple üçüncü taraf web sitesi doğruluğu veya güvenilirliği ile ilgili hiçbir fikir belirtmez. Riskler Internet kullanımının doğal bir parçasıdır. Ek bilgiler için satıcı ile irtibat kurun. Diğer ürün ve şirket adları ilgili sahiplerinin ticari markaları olabilir.

Yayın Tarihi: