为保护我们的客户,在未进行详尽调查并推出必要的修补程序或发行版之前,Apple 不会公开、讨论或确认安全性问题。要了解有关 Apple 产品安全性的更多信息,请参阅 Apple 产品安全性网站。
有关 Apple 产品安全性 PGP 密钥的信息,请参阅“如何使用 Apple 产品安全性 PGP 密钥”。
如果可能,请使用 CVE ID 来查阅漏洞的详细信息。
要了解有关其他安全性更新的信息,请参阅“Apple 安全性更新”。
Safari 5.1.4
-
Safari
适用于:Windows 7、Windows Vista、Windows XP SP2 或更高版本
影响:URL 中相似的字符可用于伪装网站
说明:Safari 中支持的国际域名 (IDN) 可用于创建包含相似字符的 URL。恶意制作的网站中可能会利用这些 URL,使用户访问看似是合法域的欺骗性网站。此问题已通过改进域名有效性检查得到解决。此问题并不影响 OS X 系统。
CVE-ID
CVE-2012-0584:Symantec 的 Matt Cooley
-
Safari
适用于:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7.3、OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 或更高版本
影响:即使“秘密浏览”处于活动状态,网页访问情况仍可能记录在浏览器历史记录中
说明:Safari 的“秘密浏览”旨在防止记录浏览会话。即使“秘密浏览”模式处于活动状态,由于站点使用 JavaScript 方法 pushState 或 replaceState 而导致已访问的页面仍记录到浏览器历史记录中。此问题已通过在“秘密浏览”处于活动状态时不记录此类访问得到解决。
CVE-ID
CVE-2012-0585:American Express 的 Eric Melville
-
WebKit
适用于:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7.3、OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 或更高版本
影响:访问恶意制作的网站可能会导致跨站点脚本攻击
说明:WebKit 中存在多个跨站点脚本问题
CVE-ID
CVE-2011-3881:Sergey Glazunov
CVE-2012-0586:Sergey Glazunov
CVE-2012-0587:Sergey Glazunov
CVE-2012-0588:Google Chrome Team 的 Jochen Eisinger
CVE-2012-0589:polyvore.com 的 Alan Austin
-
WebKit
适用于:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7.3、OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 或更高版本
影响:访问恶意制作的网站可能会导致 cookie 泄露
说明:WebKit 中存在跨域问题,这可能会使 cookie 在域间泄露。
CVE-ID
CVE-2011-3887:Sergey Glazunov
-
WebKit
适用于:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7.3、OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 或更高版本
影响:访问恶意制作的网站以及使用鼠标拖动内容可能会导致跨站点脚本攻击
说明:WebKit 中存在跨域问题,这可能导致在域间拖放内容。
CVE-ID
CVE-2012-0590:Google Chrome Security Team 的 Adam Barth
-
WebKit
适用于:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7.3、OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 或更高版本
影响:访问恶意制作的网站可能会导致应用软件意外终止或任意代码执行
说明:WebKit 中存在多个内存损坏问题。
CVE-ID
CVE-2011-2825:与 TippingPoint 的 Zero Day Initiative 合作的 team509 的 wushi
CVE-2011-2833:Apple
CVE-2011-2846:Arthur Gerkis、miaubiz
CVE-2011-2847:miaubiz、使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)
CVE-2011-2854:使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)
CVE-2011-2855:Arthur Gerkis、与 iDefense VCP 合作的 team509 的 wushi
CVE-2011-2857:miaubiz
CVE-2011-2860:使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)
CVE-2011-2866:使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)
CVE-2011-2867:Dirk Schulze
CVE-2011-2868:使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)
CVE-2011-2869:使用 AddressSanitizer 的 Google Chrome Security Team 的 Cris Neckar
CVE-2011-2870:使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)
CVE-2011-2871:使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)
CVE-2011-2872:使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno) 和 Cris Neckar
CVE-2011-2873:使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)
CVE-2011-2877:miaubiz
CVE-2011-3885:miaubiz
CVE-2011-3888:miaubiz
CVE-2011-3897:与 TippingPoint 的 Zero Day Initiative 合作的 pa_kt
CVE-2011-3908:OUSPG 的 Aki Helin
CVE-2011-3909:Google Chrome Security Team (scarybeasts) 和 Chu
CVE-2011-3928:与 TippingPoint 的 Zero Day Initiative 合作的 team509 的 wushi
CVE-2012-0591:miaubiz 和 Martin Barbella
CVE-2012-0592:与 TippingPoint 的 Zero Day Initiative 合作的 Alexander Gavrun
CVE-2012-0593:Chromium 开发社区的 Lei Zhang
CVE-2012-0594:Chromium 开发社区的 Adam Klein
CVE-2012-0595:Apple
CVE-2012-0596:使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)
CVE-2012-0597:miaubiz
CVE-2012-0598:Sergey Glazunov
CVE-2012-0599:SaveSources.com 的 Dmytro Gorbunov
CVE-2012-0600:Google Chrome 的 Marshall Greenblatt、Dharani Govindan 和 OUSPG 的 miaubiz、Aki Helin
CVE-2012-0601:Apple
CVE-2012-0602:Apple
CVE-2012-0603:Apple
CVE-2012-0604:Apple
CVE-2012-0605:Apple
CVE-2012-0606:Apple
CVE-2012-0607:Apple
CVE-2012-0608:使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)
CVE-2012-0609:使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)
CVE-2012-0610:miaubiz、使用 AddressSanitizer 的 Martin Barbella
CVE-2012-0611:使用 AddressSanitizer 的 Martin Barbella
CVE-2012-0612:使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)
CVE-2012-0613:使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)
CVE-2012-0614:miaubiz、使用 AddressSanitizer 的 Martin Barbella
CVE-2012-0615:使用 AddressSanitizer 的 Martin Barbella
CVE-2012-0616:miaubiz
CVE-2012-0617:使用 AddressSanitizer 的 Martin Barbella
CVE-2012-0618:使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)
CVE-2012-0619:使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)
CVE-2012-0620:使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)
CVE-2012-0621:使用 AddressSanitizer 的 Martin Barbella
CVE-2012-0622:Google Chrome Security Team 的 Dave Levin 和 Abhishek Arya
CVE-2012-0623:使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)
CVE-2012-0624:使用 AddressSanitizer 的 Martin Barbella
CVE-2012-0625:Martin Barbella
CVE-2012-0626:使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)
CVE-2012-0627:Apple
CVE-2012-0628:Slawomir Blazek、miaubiz、使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)
CVE-2012-0629:Google Chrome Security Team 的 Abhishek Arya (Inferno)
CVE-2012-0630:Igalia 的 Sergio Villar Senin
CVE-2012-0631:Google Chrome Security Team 的 Abhishek Arya (Inferno)
CVE-2012-0632:使用 AddressSanitizer 的 Google Chrome Security Team 的 Cris Neckar
CVE-2012-0633:Apple
CVE-2012-0635:Chromium 开发社区的 Julien Chaffraix、使用 AddressSanitizer 的 Martin Barbella
CVE-2012-0636:Google 的 Jeremy Apthorp、使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)
CVE-2012-0637:Apple
CVE-2012-0638:使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)
CVE-2012-0639:使用 AddressSanitizer 的 Google Chrome Security Team 的 Abhishek Arya (Inferno)
CVE-2012-0648:Apple
-
WebKit
适用于:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7.3、OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 或更高版本
影响:即使 Safari 配置为阻止 cookie,第三方网站也可以对其进行设置
说明:实施其 cookie 政策时存在问题。如果 Safari 中“阻止 cookie”偏好设置设定为默认设置“来自第三方和广告商”,第三方网站可以设置 cookie。
CVE-ID
CVE-2012-0640:nshah
-
WebKit
适用于:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7.3、OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 或更高版本
影响:HTTP 认证凭证可能无意间泄露给其他站点
说明:如果站点使用 HTTP 认证并重定向到其他站点,则认证凭证可能会发送到其他站点。
CVE-ID
CVE-2012-0647:一位匿名研究者