為保障客戶的安全,在進行完整調查並提供所有必要的修補程式或版本之前,Apple 不會揭露、討論或確認安全性問題。若要瞭解 Apple 產品安全性的更多相關資訊,請參閱 Apple 產品安全性網站。
如需 Apple 產品安全性 PGP 金鑰的相關資訊,請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。
如有可能,CVE ID 會用來參照安全漏洞的進一步資訊。
若要瞭解其他安全性更新,請參閱「Apple 安全性更新」。
Safari 5.1.4
-
Safari
適用於:Windows 7、Vista、XP SP2 或以上版本
影響:URL 中外表相似的字元可用於冒充網站
說明:Safari 的 International Domain Name(IDN)支援功能,可用於製作包含相似字元的 URL。這些字元可用於惡意網站,將使用者誘導到看似合法網域的假造網站。此問題已透過改良網域名稱有效性檢查解決。此問題不影響 OS X 系統。
CVE-ID
CVE-2012-0584:Symantec 的 Matt Cooley
-
Safari
適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7.3、OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 或以上版本
影響:即使啟用私密瀏覽功能,瀏覽記錄中還是有網頁參訪記錄
說明:Safari 的「私密瀏覽」功能目的是避免記錄瀏覽連線作業。即使啟用「私密瀏覽」模式,瀏覽記錄中還是會因為網站利用 pushState 或 replaceState 這兩個 JavaScript 方法,而留下網頁參訪記錄。現在啟用「私密瀏覽」模式時,已經不會記錄這類造訪行為,此問題已經解決。
CVE-ID
CVE-2012-0585:American Express 的 Eric Melville
-
WebKit
適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7.3、OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 或以上版本
影響:參訪惡意製作的網站可能導致跨網站工序指令攻擊
說明:WebKit 有多個跨網站工序指令問題
CVE-ID
CVE-2011-3881:Sergey Glazunov
CVE-2012-0586:Sergey Glazunov
CVE-2012-0587:Sergey Glazunov
CVE-2012-0588:Google Chrome 小組的 Jochen Eisinger
CVE-2012-0589:polyvore.com 的 Alan Austin
-
WebKit
適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7.3、OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 或以上版本
影響:瀏覽惡意製作的網站可能導致 cookie 內容外洩
說明:WebKit 有跨來源問題,可能導致系統跨來源洩漏 cookie。
CVE-ID
CVE-2011-3887:Sergey Glazunov
-
WebKit
適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7.3、OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 或以上版本
影響:瀏覽惡意製作的網站並以滑鼠拖移內容時,可能導致跨網站工序指令攻擊行為
說明:WebKit 有跨來源問題,可容許使用者跨來源拖放內容。
CVE-ID
CVE-2012-0590:Google Chrome 安全小組的 Adam Barth
-
WebKit
適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7.3、OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 或以上版本
影響:瀏覽惡意製作的網站時,可能導致應用程式意外終止或執行任意程式碼
說明:WebKit 有多個記憶體損毀問題。
CVE-ID
CVE-2011-2825:與 TippingPoint Zero Day Initiative 計劃合作的 team509 小組成員 wushi
CVE-2011-2833:Apple
CVE-2011-2846:Arthur Gerkis、miaubiz
CVE-2011-2847:miaubiz、Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)
CVE-2011-2854:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)
CVE-2011-2855:Arthur Gerkis、與 iDefense VCP 合作的 team509 小組成員 wushi
CVE-2011-2857:miaubiz
CVE-2011-2860:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)
CVE-2011-2866:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)
CVE-2011-2867:Dirk Schulze
CVE-2011-2868:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)
CVE-2011-2869:Google Chrome 安全小組的 Cris Neckar(使用 AddressSanitizer)
CVE-2011-2870:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)
CVE-2011-2871:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)
CVE-2011-2872:Google Chrome 安全小組的 Abhishek Arya(Inferno)和 Cris Neckar(使用 AddressSanitizer)
CVE-2011-2873:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)
CVE-2011-2877:miaubiz
CVE-2011-3885:miaubiz
CVE-2011-3888:miaubiz
CVE-2011-3897:與 TippingPoint Zero Day Initiative 計劃合作的 pa_kt
CVE-2011-3908:OUSPG 的 Aki Helin
CVE-2011-3909:Google Chrome 安全小組(scarybeasts)和 Chu
CVE-2011-3928:與 TippingPoint Zero Day Initiative 計劃合作的 team509 小組成員 wushi
CVE-2012-0591:miaubiz 和 Martin Barbella
CVE-2012-0592:與 TippingPoint Zero Day Initiative 計劃合作的 Alexander Gavrun
CVE-2012-0593:Chromium 開發社群的 Lei Zhang
CVE-2012-0594:Chromium 開發社群的 Adam Klein
CVE-2012-0595:Apple
CVE-2012-0596:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)
CVE-2012-0597:miaubiz
CVE-2012-0598:Sergey Glazunov
CVE-2012-0599:SaveSources.com 的 Dmytro Gorbunov
CVE-2012-0600:Marshall Greenblatt、Google Chrome 的 Dharani Govindan、miaubiz、OUSPG 的 Aki Helin
CVE-2012-0601:Apple
CVE-2012-0602:Apple
CVE-2012-0603:Apple
CVE-2012-0604:Apple
CVE-2012-0605:Apple
CVE-2012-0606:Apple
CVE-2012-0607:Apple
CVE-2012-0608:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)
CVE-2012-0609:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)
CVE-2012-0610:miaubiz 和 Martin Barbella(使用 AddressSanitizer)
CVE-2012-0611:Martin Barbella(使用 AddressSanitizer)
CVE-2012-0612:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)
CVE-2012-0613:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)
CVE-2012-0614:miaubiz 和 Martin Barbella(使用 AddressSanitizer)
CVE-2012-0615:Martin Barbella(使用 AddressSanitizer)
CVE-2012-0616:miaubiz
CVE-2012-0617:Martin Barbella(使用 AddressSanitizer)
CVE-2012-0618:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)
CVE-2012-0619:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)
CVE-2012-0620:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)
CVE-2012-0621:Martin Barbella(使用 AddressSanitizer)
CVE-2012-0622:Google Chrome 安全小組的 Dave Levin 和 Abhishek Arya
CVE-2012-0623:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)
CVE-2012-0624:Martin Barbella(使用 AddressSanitizer)
CVE-2012-0625:Martin Barbella
CVE-2012-0626:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)
CVE-2012-0627:Apple
CVE-2012-0628:Slawomir Blazek、miaubiz、Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)
CVE-2012-0629:Google Chrome 安全小組的 Abhishek Arya(Inferno)
CVE-2012-0630:Igalia 的 Sergio Villar Senin
CVE-2012-0631:Google Chrome 安全小組的 Abhishek Arya(Inferno)
CVE-2012-0632:Google Chrome 安全小組的 Cris Neckar(使用 AddressSanitizer)
CVE-2012-0633:Apple
CVE-2012-0635:Chromium 開發社群的 Julien Chaffraix、Martin Barbella(使用 AddressSanitizer)
CVE-2012-0636:Google 的 Jeremy Apthorp of Google、Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)
CVE-2012-0637:Apple
CVE-2012-0638:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)
CVE-2012-0639:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)
CVE-2012-0648:Apple
-
WebKit
適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7.3、OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 或以上版本
影響:即使將 Safari 設定為阻擋 Cookie,但第三方網站仍可設定 Cookie
說明:Cookie 政策的執行存在問題。如果將 Safari 中的「阻擋 Cookie」偏好設定設為「來自協力廠商和廣告商」預設設定,第三方網站還是可以設定 Cookie。
CVE-ID
CVE-2012-0640:nshah
-
WebKit
適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7.3、OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 或以上版本
影響:HTTP 認證功能的憑證可能意外洩漏到其他網站
說明:若某網站使用 HTTP 認證功能,而且會重新導向到其他網站,則可能將認證憑證傳送到這個其他網站。
CVE-ID
CVE-2012-0647:匿名研究人員