這篇文章已封存,而且 Apple 也不會再更新。

關於 Safari 5.1.4 的安全性內容

本文說明 Safari 5.1.4 的安全性內容。

為保障客戶的安全,在進行完整調查並提供所有必要的修補程式或版本之前,Apple 不會揭露、討論或確認安全性問題。若要瞭解 Apple 產品安全性的更多相關資訊,請參閱 Apple 產品安全性網站。

如需 Apple 產品安全性 PGP 金鑰的相關資訊,請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。

如有可能,CVE ID 會用來參照安全漏洞的進一步資訊。

若要瞭解其他安全性更新,請參閱「Apple 安全性更新」。

Safari 5.1.4

  • Safari

適用於:Windows 7、Vista、XP SP2 或以上版本

影響:URL 中外表相似的字元可用於冒充網站

說明:Safari 的 International Domain Name(IDN)支援功能,可用於製作包含相似字元的 URL。這些字元可用於惡意網站,將使用者誘導到看似合法網域的假造網站。此問題已透過改良網域名稱有效性檢查解決。此問題不影響 OS X 系統。

CVE-ID

CVE-2012-0584:Symantec 的 Matt Cooley

  • Safari

適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7.3、OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 或以上版本

影響:即使啟用私密瀏覽功能,瀏覽記錄中還是有網頁參訪記錄

說明:Safari 的「私密瀏覽」功能目的是避免記錄瀏覽連線作業。即使啟用「私密瀏覽」模式,瀏覽記錄中還是會因為網站利用 pushState 或 replaceState 這兩個 JavaScript 方法,而留下網頁參訪記錄。現在啟用「私密瀏覽」模式時,已經不會記錄這類造訪行為,此問題已經解決。

CVE-ID

CVE-2012-0585:American Express 的 Eric Melville

  • WebKit

適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7.3、OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 或以上版本

影響:參訪惡意製作的網站可能導致跨網站工序指令攻擊

說明:WebKit 有多個跨網站工序指令問題

CVE-ID

CVE-2011-3881:Sergey Glazunov

CVE-2012-0586:Sergey Glazunov

CVE-2012-0587:Sergey Glazunov

CVE-2012-0588:Google Chrome 小組的 Jochen Eisinger

CVE-2012-0589:polyvore.com 的 Alan Austin

  • WebKit

適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7.3、OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 或以上版本

影響:瀏覽惡意製作的網站可能導致 cookie 內容外洩

說明:WebKit 有跨來源問題,可能導致系統跨來源洩漏 cookie。

CVE-ID

CVE-2011-3887:Sergey Glazunov

  • WebKit

適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7.3、OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 或以上版本

影響:瀏覽惡意製作的網站並以滑鼠拖移內容時,可能導致跨網站工序指令攻擊行為

說明:WebKit 有跨來源問題,可容許使用者跨來源拖放內容。

CVE-ID

CVE-2012-0590:Google Chrome 安全小組的 Adam Barth

  • WebKit

適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7.3、OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 或以上版本

影響:瀏覽惡意製作的網站時,可能導致應用程式意外終止或執行任意程式碼

說明:WebKit 有多個記憶體損毀問題。

CVE-ID

CVE-2011-2825:與 TippingPoint Zero Day Initiative 計劃合作的 team509 小組成員 wushi

CVE-2011-2833:Apple

CVE-2011-2846:Arthur Gerkis、miaubiz

CVE-2011-2847:miaubiz、Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)

CVE-2011-2854:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)

CVE-2011-2855:Arthur Gerkis、與 iDefense VCP 合作的 team509 小組成員 wushi

CVE-2011-2857:miaubiz

CVE-2011-2860:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)

CVE-2011-2866:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)

CVE-2011-2867:Dirk Schulze

CVE-2011-2868:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)

CVE-2011-2869:Google Chrome 安全小組的 Cris Neckar(使用 AddressSanitizer)

CVE-2011-2870:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)

CVE-2011-2871:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)

CVE-2011-2872:Google Chrome 安全小組的 Abhishek Arya(Inferno)和 Cris Neckar(使用 AddressSanitizer)

CVE-2011-2873:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)

CVE-2011-2877:miaubiz

CVE-2011-3885:miaubiz

CVE-2011-3888:miaubiz

CVE-2011-3897:與 TippingPoint Zero Day Initiative 計劃合作的 pa_kt

CVE-2011-3908:OUSPG 的 Aki Helin

CVE-2011-3909:Google Chrome 安全小組(scarybeasts)和 Chu

CVE-2011-3928:與 TippingPoint Zero Day Initiative 計劃合作的 team509 小組成員 wushi

CVE-2012-0591:miaubiz 和 Martin Barbella

CVE-2012-0592:與 TippingPoint Zero Day Initiative 計劃合作的 Alexander Gavrun

CVE-2012-0593:Chromium 開發社群的 Lei Zhang

CVE-2012-0594:Chromium 開發社群的 Adam Klein

CVE-2012-0595:Apple

CVE-2012-0596:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)

CVE-2012-0597:miaubiz

CVE-2012-0598:Sergey Glazunov

CVE-2012-0599:SaveSources.com 的 Dmytro Gorbunov

CVE-2012-0600:Marshall Greenblatt、Google Chrome 的 Dharani Govindan、miaubiz、OUSPG 的 Aki Helin

CVE-2012-0601:Apple

CVE-2012-0602:Apple

CVE-2012-0603:Apple

CVE-2012-0604:Apple

CVE-2012-0605:Apple

CVE-2012-0606:Apple

CVE-2012-0607:Apple

CVE-2012-0608:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)

CVE-2012-0609:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)

CVE-2012-0610:miaubiz 和 Martin Barbella(使用 AddressSanitizer)

CVE-2012-0611:Martin Barbella(使用 AddressSanitizer)

CVE-2012-0612:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)

CVE-2012-0613:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)

CVE-2012-0614:miaubiz 和 Martin Barbella(使用 AddressSanitizer)

CVE-2012-0615:Martin Barbella(使用 AddressSanitizer)

CVE-2012-0616:miaubiz

CVE-2012-0617:Martin Barbella(使用 AddressSanitizer)

CVE-2012-0618:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)

CVE-2012-0619:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)

CVE-2012-0620:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)

CVE-2012-0621:Martin Barbella(使用 AddressSanitizer)

CVE-2012-0622:Google Chrome 安全小組的 Dave Levin 和 Abhishek Arya

CVE-2012-0623:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)

CVE-2012-0624:Martin Barbella(使用 AddressSanitizer)

CVE-2012-0625:Martin Barbella

CVE-2012-0626:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)

CVE-2012-0627:Apple

CVE-2012-0628:Slawomir Blazek、miaubiz、Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)

CVE-2012-0629:Google Chrome 安全小組的 Abhishek Arya(Inferno)

CVE-2012-0630:Igalia 的 Sergio Villar Senin

CVE-2012-0631:Google Chrome 安全小組的 Abhishek Arya(Inferno)

CVE-2012-0632:Google Chrome 安全小組的 Cris Neckar(使用 AddressSanitizer)

CVE-2012-0633:Apple

CVE-2012-0635:Chromium 開發社群的 Julien Chaffraix、Martin Barbella(使用 AddressSanitizer)

CVE-2012-0636:Google 的 Jeremy Apthorp of Google、Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)

CVE-2012-0637:Apple

CVE-2012-0638:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)

CVE-2012-0639:Google Chrome 安全小組的 Abhishek Arya(Inferno)(使用 AddressSanitizer)

CVE-2012-0648:Apple

  • WebKit

適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7.3、OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 或以上版本

影響:即使將 Safari 設定為阻擋 Cookie,但第三方網站仍可設定 Cookie

說明:Cookie 政策的執行存在問題。如果將 Safari 中的「阻擋 Cookie」偏好設定設為「來自協力廠商和廣告商」預設設定,第三方網站還是可以設定 Cookie。

CVE-ID

CVE-2012-0640:nshah

  • WebKit

適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7.3、OS X Lion Server v10.7.3、Windows 7、Vista、XP SP2 或以上版本

影響:HTTP 認證功能的憑證可能意外洩漏到其他網站

說明:若某網站使用 HTTP 認證功能,而且會重新導向到其他網站,則可能將認證憑證傳送到這個其他網站。

CVE-ID

CVE-2012-0647:匿名研究人員

對於非 Apple 製造之產品相關資訊,或是非 Apple 控制或測試之獨立網站,不得解釋 Apple 為其推薦或背書。Apple 對於第三方網站或產品的選擇、效能或使用,概不負責。Apple 對於第三方網站的準確性或可靠性不做任何保證。如需其他資訊,請聯絡廠商

發佈日期: