关于 Safari 5.1.4 的安全性内容

本文介绍了 Safari 5.1.4 的安全性内容。

为保护我们的客户，在未进行详尽调查并推出必要的修补程序或发行版之前，Apple 不会公开、讨论或确认安全性问题。要了解有关 Apple 产品安全性的更多信息，请参阅 Apple 产品安全性网站。

有关 Apple 产品安全性 PGP 密钥的信息，请参阅“如何使用 Apple 产品安全性 PGP 密钥”。

如果可能，请使用 CVE ID 来查阅漏洞的详细信息。

要了解有关其他安全性更新的信息，请参阅“Apple 安全性更新”。

Safari 5.1.4

• Safari

适用于：Windows 7、Windows Vista、Windows XP SP2 或更高版本

影响：URL 中相似的字符可用于伪装网站

说明：Safari 中支持的国际域名 (IDN) 可用于创建包含相似字符的 URL。恶意制作的网站中可能会利用这些 URL，使用户访问看似是合法域的欺骗性网站。此问题已通过改进域名有效性检查得到解决。此问题并不影响 OS X 系统。

CVE-ID

CVE-2012-0584：Symantec 的 Matt Cooley

• Safari

适用于：Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7.3、OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 或更高版本

影响：即使“秘密浏览”处于活动状态，网页访问情况仍可能记录在浏览器历史记录中

说明：Safari 的“秘密浏览”旨在防止记录浏览会话。即使“秘密浏览”模式处于活动状态，由于站点使用 JavaScript 方法 pushState 或 replaceState 而导致已访问的页面仍记录到浏览器历史记录中。此问题已通过在“秘密浏览”处于活动状态时不记录此类访问得到解决。

CVE-ID

CVE-2012-0585：American Express 的 Eric Melville

• WebKit

适用于：Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7.3、OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 或更高版本

影响：访问恶意制作的网站可能会导致跨站点脚本攻击

说明：WebKit 中存在多个跨站点脚本问题

CVE-ID

CVE-2011-3881：Sergey Glazunov

CVE-2012-0586：Sergey Glazunov

CVE-2012-0587：Sergey Glazunov

CVE-2012-0588：Google Chrome Team 的 Jochen Eisinger

CVE-2012-0589：polyvore.com 的 Alan Austin

• WebKit

适用于：Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7.3、OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 或更高版本

影响：访问恶意制作的网站可能会导致 cookie 泄露

说明：WebKit 中存在跨域问题，这可能会使 cookie 在域间泄露。

CVE-ID

CVE-2011-3887：Sergey Glazunov

• WebKit

适用于：Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7.3、OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 或更高版本

影响：访问恶意制作的网站以及使用鼠标拖动内容可能会导致跨站点脚本攻击

说明：WebKit 中存在跨域问题，这可能导致在域间拖放内容。

CVE-ID

CVE-2012-0590：Google Chrome Security Team 的 Adam Barth

• WebKit

适用于：Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7.3、OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 或更高版本

影响：访问恶意制作的网站可能会导致应用软件意外终止或任意代码执行

说明：WebKit 中存在多个内存损坏问题。

CVE-ID

CVE-2011-2825：与 TippingPoint 的 Zero Day Initiative 合作的 team509 的 wushi

CVE-2011-2833：Apple

CVE-2011-2846：Arthur Gerkis、miaubiz

CVE-2011-2847：miaubiz、使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)

CVE-2011-2854：使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)

CVE-2011-2855：Arthur Gerkis、与 iDefense VCP 合作的 team509 的 wushi

CVE-2011-2857：miaubiz

CVE-2011-2860：使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)

CVE-2011-2866：使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)

CVE-2011-2867：Dirk Schulze

CVE-2011-2868：使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)

CVE-2011-2869：使用 AddressSanitizer 的 Google Chrome Security Team 的 Cris Neckar

CVE-2011-2870：使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)

CVE-2011-2871：使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)

CVE-2011-2872：使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno) 和 Cris Neckar

CVE-2011-2873：使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)

CVE-2011-2877：miaubiz

CVE-2011-3885：miaubiz

CVE-2011-3888：miaubiz

CVE-2011-3897：与 TippingPoint 的 Zero Day Initiative 合作的 pa_kt

CVE-2011-3908：OUSPG 的 Aki Helin

CVE-2011-3909：Google Chrome Security Team (scarybeasts) 和 Chu

CVE-2011-3928：与 TippingPoint 的 Zero Day Initiative 合作的 team509 的 wushi

CVE-2012-0591：miaubiz 和 Martin Barbella

CVE-2012-0592：与 TippingPoint 的 Zero Day Initiative 合作的 Alexander Gavrun

CVE-2012-0593：Chromium 开发社区的 Lei Zhang

CVE-2012-0594：Chromium 开发社区的 Adam Klein

CVE-2012-0595：Apple

CVE-2012-0596：使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)

CVE-2012-0597：miaubiz

CVE-2012-0598：Sergey Glazunov

CVE-2012-0599：SaveSources.com 的 Dmytro Gorbunov

CVE-2012-0600：Google Chrome 的 Marshall Greenblatt、Dharani Govindan 和 OUSPG 的 miaubiz、Aki Helin

CVE-2012-0601：Apple

CVE-2012-0602：Apple

CVE-2012-0603：Apple

CVE-2012-0604：Apple

CVE-2012-0605：Apple

CVE-2012-0606：Apple

CVE-2012-0607：Apple

CVE-2012-0608：使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)

CVE-2012-0609：使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)

CVE-2012-0610：miaubiz、使用 AddressSanitizer 的 Martin Barbella

CVE-2012-0611：使用 AddressSanitizer 的 Martin Barbella

CVE-2012-0612：使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)

CVE-2012-0613：使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)

CVE-2012-0614：miaubiz、使用 AddressSanitizer 的 Martin Barbella

CVE-2012-0615：使用 AddressSanitizer 的 Martin Barbella

CVE-2012-0616：miaubiz

CVE-2012-0617：使用 AddressSanitizer 的 Martin Barbella

CVE-2012-0618：使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)

CVE-2012-0619：使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)

CVE-2012-0620：使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)

CVE-2012-0621：使用 AddressSanitizer 的 Martin Barbella

CVE-2012-0622：Google Chrome Security Team 的 Dave Levin 和 Abhishek Arya

CVE-2012-0623：使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)

CVE-2012-0624：使用 AddressSanitizer 的 Martin Barbella

CVE-2012-0625：Martin Barbella

CVE-2012-0626：使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)

CVE-2012-0627：Apple

CVE-2012-0628：Slawomir Blazek、miaubiz、使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)

CVE-2012-0629：Google Chrome Security Team 的 Abhishek Arya (Inferno)

CVE-2012-0630：Igalia 的 Sergio Villar Senin

CVE-2012-0631：Google Chrome Security Team 的 Abhishek Arya (Inferno)

CVE-2012-0632：使用 AddressSanitizer 的 Google Chrome Security Team 的 Cris Neckar

CVE-2012-0633：Apple

CVE-2012-0635：Chromium 开发社区的 Julien Chaffraix、使用 AddressSanitizer 的 Martin Barbella

CVE-2012-0636：Google 的 Jeremy Apthorp、使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)

CVE-2012-0637：Apple

CVE-2012-0638：使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)

CVE-2012-0639：使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)

CVE-2012-0648：Apple

• WebKit

适用于：Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7.3、OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 或更高版本

影响：即使 Safari 配置为阻止 cookie，第三方网站也可以对其进行设置

说明：实施其 cookie 政策时存在问题。如果 Safari 中“阻止 cookie”偏好设置设定为默认设置“来自第三方和广告商”，第三方网站可以设置 cookie。

CVE-ID

CVE-2012-0640：nshah

• WebKit

适用于：Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7.3、OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 或更高版本

影响：HTTP 认证凭证可能无意间泄露给其他站点

说明：如果站点使用 HTTP 认证并重定向到其他站点，则认证凭证可能会发送到其他站点。

CVE-ID

CVE-2012-0647：一位匿名研究者