Acerca del contenido de seguridad de Safari 6
Este documento describe el contenido de seguridad de Safari 6.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.
Para obtener información acerca de la Clave PGP de la Seguridad de los productos de Apple, visita "Cómo usar la Clave PGP de la Seguridad de los productos de Apple".
Siempre que sea posible, se utilizan ID CVE para hacer referencia a las vulnerabilidades a fin de obtener más información.
Para obtener información acerca de las actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".
Safari 6.0
Safari
Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: Visitar un sitio web creado con fines malintencionados podría provocar un ataque a la vulnerabilidad de secuencias de comandos entre sitios cruzados
Descripción: Existía un problema en las secuencias de comandos entre sitios cruzados durante el procesamiento de direcciones URL de canal. Esta actualización elimina el procesamiento de URL de canal.
ID CVE
CVE-2012-0678: Masato Kinugawa
Safari
Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: Visitar un sitio web creado con fines malintencionados podría provocar que los archivos del sistema del usuario se envíen a un servidor remoto
Descripción: Existía un problema de control de acceso en el procesamiento de direcciones URL de canal. Esta actualización elimina el procesamiento de URL de canal.
ID CVE
CVE-2012-0679: Aaron Sigel de vtty.com
Safari
Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: Es posible que las contraseñas se completen automáticamente incluso cuando el sitio especifica que la función Autocompletar debe estar desactivada
Descripción: Los elementos de entrada de contraseñas con el atributo Autocompletar desactivado se completaban automáticamente. Esta actualización resuelve el problema a través de mejoras en el manejo de los atributos Autocompletar.
ID CVE
CVE-2012-0680: Dan Poltawski de Moodle
Descargas de Safari
Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: Abrir archivos creados con fines malintencionados en determinados sitios web podría provocar un ataque a la vulnerabilidad de secuencias de comandos entre sitios cruzados
Descripción: Existía un problema de compatibilidad de Safari con el valor 'attachment' en el encabezado HTTP Content-Disposition. Muchos sitios web utilizan este encabezado para ofrecer archivos que se cargaron en el sitio mediante terceros, como archivos adjuntos en aplicaciones web de correo electrónico. Una secuencia de comandos en los archivos ofrecidos con este valor de encabezado podría ejecutarse como si el archivo se hubiera ofrecido en línea, con acceso total a otros recursos en el servidor de origen. Para solucionar este problema, los recursos ofrecidos con este encabezado se deben descargar, en lugar de verse en línea.
ID CVE
CVE-2011-3426: Mickey Shkatov de laplinker.com, Kyle Osborn, Hidetake Jo de Microsoft y Microsoft Vulnerability Research (MSVR)
WebKit
Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existían varios problemas de corrupción de memoria en WebKit. Para solucionar estos problemas, se debe mejorar el manejo de la memoria.
ID CVE
CVE-2011-3016: miaubiz
CVE-2011-3021: Arthur Gerkis
CVE-2011-3027: miaubiz
CVE-2011-3032: Arthur Gerkis
CVE-2011-3034: Arthur Gerkis
CVE-2011-3035: wushi de team509 en colaboración con iDefense VCP, Arthur Gerkis
CVE-2011-3036: miaubiz
CVE-2011-3037: miaubiz
CVE-2011-3038: miaubiz
CVE-2011-3039: miaubiz
CVE-2011-3040: miaubiz
CVE-2011-3041: miaubiz
CVE-2011-3042: miaubiz
CVE-2011-3043: miaubiz
CVE-2011-3044: Arthur Gerkis
CVE-2011-3050: miaubiz
CVE-2011-3053: miaubiz
CVE-2011-3059: Arthur Gerkis
CVE-2011-3060: miaubiz
CVE-2011-3064: Atte Kettunen de OUSPG
CVE-2011-3068: miaubiz
CVE-2011-3069: miaubiz
CVE-2011-3071: pa_kt en colaboración con Zero Day Initiative de HP
CVE-2011-3073: Arthur Gerkis
CVE-2011-3074: Slawomir Blazek
CVE-2011-3075: miaubiz
CVE-2011-3076: miaubiz
CVE-2011-3078: Martin Barbella de Google Chrome Security Team
CVE-2011-3081: miaubiz
CVE-2011-3086: Arthur Gerkis
CVE-2011-3089: Skylined de Google Chrome Security Team, miaubiz
CVE-2011-3090: Arthur Gerkis
CVE-2011-3913: Arthur Gerkis
CVE-2011-3924: Arthur Gerkis
CVE-2011-3926: Arthur Gerkis
CVE-2011-3958: miaubiz
CVE-2011-3966: Aki Helin de OUSPG
CVE-2011-3968: Arthur Gerkis
CVE-2011-3969: Arthur Gerkis
CVE-2011-3971: Arthur Gerkis
CVE-2012-0682: Seguridad de los productos Apple
CVE-2012-0683: Dave Mandelin de Mozilla
CVE-2012-1520: Martin Barbella de Google Chrome Security Team usando AddressSanitizer, Jose A. Vazquez de spa-s3c.blogspot.com en colaboración con iDefense VCP
CVE-2012-1521: Skylined de Google Chrome Security Team, Jose A. Vazquez de spa-s3c.blogspot.com en colaboración con iDefense VCP
CVE-2012-3589: Dave Mandelin de Mozilla
CVE-2012-3590: Seguridad de los productos Apple
CVE-2012-3591: Seguridad de los productos Apple
CVE-2012-3592: Seguridad de los productos Apple
CVE-2012-3593: Seguridad de los productos Apple
CVE-2012-3594: miaubiz
CVE-2012-3595: Martin Barbella de Google Chrome Security
CVE-2012-3596: Skylined de Google Chrome Security Team
CVE-2012-3597: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer
CVE-2012-3599: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer
CVE-2012-3600: David Levin de la comunidad de desarrollo Chromium
CVE-2012-3603: Seguridad de los productos Apple
CVE-2012-3604: Skylined de Google Chrome Security Team
CVE-2012-3605: Cris Neckar de Google Chrome Security Team
CVE-2012-3608: Skylined de Google Chrome Security Team
CVE-2012-3609: Skylined de Google Chrome Security Team
CVE-2012-3610: Skylined de Google Chrome Security Team
CVE-2012-3611: Seguridad de los productos Apple
CVE-2012-3615: Stephen Chenney de la comunidad de desarrollo Chromium
CVE-2012-3618: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer
CVE-2012-3620: Abhishek Arya de Google Chrome Security Team
CVE-2012-3625: Skylined de Google Chrome Security Team
CVE-2012-3626: Seguridad de los productos Apple
CVE-2012-3627: Skylined y Abhishek Arya de Google Chrome Security Team
CVE-2012-3628: Seguridad de los productos Apple
CVE-2012-3629: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer
CVE-2012-3630: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer
CVE-2012-3631: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer
CVE-2012-3633: Martin Barbella de Google Chrome Security Team usando AddressSanitizer
CVE-2012-3634: Martin Barbella de Google Chrome Security Team usando AddressSanitizer
CVE-2012-3635: Martin Barbella de Google Chrome Security Team usando AddressSanitizer
CVE-2012-3636: Martin Barbella de Google Chrome Security Team usando AddressSanitizer
CVE-2012-3637: Martin Barbella de Google Chrome Security Team usando AddressSanitizer
CVE-2012-3638: Martin Barbella de Google Chrome Security Team usando AddressSanitizer
CVE-2012-3639: Martin Barbella de Google Chrome Security Team usando AddressSanitizer
CVE-2012-3640: miaubiz
CVE-2012-3641: Slawomir Blazek
CVE-2012-3642: miaubiz
CVE-2012-3644: miaubiz
CVE-2012-3645: Martin Barbella de Google Chrome Security Team usando AddressSanitizer
CVE-2012-3646: Julien Chaffraix de la comunidad de desarrollo Chromium, Martin Barbella de Google Chrome Security Team usando AddressSanitizer
CVE-2012-3653: Martin Barbella de Google Chrome Security Team usando AddressSanitizer
CVE-2012-3655: Skylined de Google Chrome Security Team
CVE-2012-3656: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer
CVE-2012-3661: Seguridad de los productos Apple
CVE-2012-3663: Skylined de Google Chrome Security Team
CVE-2012-3664: Thomas Sepez de la comunidad de desarrollo Chromium
CVE-2012-3665: Martin Barbella de Google Chrome Security Team usando AddressSanitizer
CVE-2012-3666: Apple
CVE-2012-3667: Trevor Squires de propaneapp.com
CVE-2012-3668: Seguridad de los productos Apple
CVE-2012-3669: Seguridad de los productos Apple
CVE-2012-3670: Abhishek Arya de Google Chrome Security Team usando AddressSanitizer, Arthur Gerkis
CVE-2012-3674: Skylined de Google Chrome Security Team
CVE-2012-3678: Seguridad de los productos Apple
CVE-2012-3679: Chris Leary de Mozilla
CVE-2012-3680: Skylined de Google Chrome Security Team
CVE-2012-3681: Apple
CVE-2012-3682: Adam Barth de Google Chrome Security Team
CVE-2012-3683: wushi de team509 en colaboración con iDefense VCP
CVE-2012-3686: Robin Cao de Torch Mobile (Pekín)
WebKit
Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: La opción de arrastrar y soltar texto seleccionado en una página web podría provocar la divulgación de información entre sitios
Descripción: Existía un problema de orígenes cruzados en el procesamiento de eventos de arrastrar y soltar. Para solucionar este problema, se debe mejorar el seguimiento de orígenes.
ID CVE
CVE-2012-3689: David Bloom de Cue
WebKit
Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: La opción de arrastrar y soltar texto seleccionado en una página web podría provocar que los archivos del sistema del usuario se envíen a un servidor remoto
Descripción: Existía un problema de control de acceso en el procesamiento de los eventos de arrastrar y soltar. Para solucionar este problema, se debe mejorar el seguimiento de orígenes.
ID CVE
CVE-2012-3690: David Bloom de Cue
WebKit
Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: Visitar un sitio web creado con fines malintencionados podría provocar la divulgación de información entre sitios
Descripción: Existía un problema de orígenes cruzados en el procesamiento de valores de propiedad de CSS. Para solucionar este problema, se debe mejorar el seguimiento de orígenes.
ID CVE
CVE-2012-3691: Apple
WebKit
Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: Es posible que un sitio web creado con fines malintencionados pueda sustituir el contenido de un iFrame en otro sitio
Descripción: Existía un problema de orígenes cruzados en el procesamiento de iFrames en las ventanas emergentes. Para solucionar este problema, se debe mejorar el seguimiento de orígenes.
ID CVE
CVE-2011-3067: Sergey Glazunov
WebKit
Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: Visitar un sitio web creado con fines malintencionados podría provocar la divulgación de información entre sitios
Descripción: Existía un problema de orígenes cruzados en el procesamiento de iFrames e identificadores de fragmentos. Para solucionar este problema, se debe mejorar el seguimiento de orígenes.
ID CVE
CVE-2012-2815: Elie Bursztein, Baptiste Gourdin, Gustav Rydstedt y Dan Boneh del laboratorio de seguridad de Stanford University
WebKit
Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: Caracteres similares en una dirección URL podrían utilizarse para enmascarar un sitio web
Descripción: La compatibilidad con el nombre de dominio internacionalizado (IDN) y los tipos de letra Unicode integrados en Safari se podrían usar para crear una URL que contuviera caracteres similares. Estos podrían emplearse en un sitio web malintencionado para remitir al usuario a un sitio falso que visualmente se pareciera a un dominio legítimo. Para solucionar este problema, se debe complementar la lista de WebKit de caracteres similares conocidos. Los caracteres similares se muestran en Punycode en la barra de direcciones.
ID CVE
CVE-2012-3693: Matt Cooley de Symantec
WebKit
Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: La opción de arrastrar y soltar un archivo en Safari podría revelar la ruta del sistema de archivos para el archivo en el sitio web
Descripción: Existía un problema de divulgación de información en el manejo de los archivos arrastrados. Para solucionar este problema, se debe mejorar el manejo de los archivos arrastrados.
ID CVE
CVE-2012-3694: Daniel Cheng de Google, Aaron Sigel de vtty.com
WebKit
Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: Visitar un sitio web creado con fines malintencionados podría provocar un ataque a la vulnerabilidad de secuencias de comandos entre sitios cruzados
Descripción: Existía un problema de canonización en el procesamiento de direcciones URL. Esto podía generar secuencias de comandos entre sitios cruzados en las que se utilice la propiedad location.href. Para solucionar este problema, se debe mejorar la canonización de URL.
ID CVE
CVE-2012-3695: Masato Kinugawa
WebKit
Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: Visitar un sitio web creado con fines malintencionados podría provocar la división de la solicitud HTTP
Descripción: Existía un problema en la inyección de encabezados HTTP durante el procesamiento de WebSockets. Para solucionar este problema, se debe mejorar el saneamiento de la URI de WebSockets.
ID CVE
CVE-2012-3696: David Belcher de BlackBerry Security Incident Response Team
WebKit
Disponible para: OS X Lion v10.7.4, OS X Lion Server v10.7.4
Impacto: Un sitio web creado con fines malintencionados podría suplantar el valor de la barra de direcciones URL
Descripción: Existía un problema de administración de estado en el procesamiento del historial de sesiones. Navegar a un fragmento de la página actual podría provocar que Safari muestre información incorrecta en la barra de direcciones URL. Para solucionar este problema, se debe mejorar el seguimiento del estado de la sesión.
ID CVE
CVE-2011-2845: Jordi Chancel
WebKit
Disponible para: OS X Lion v10.7.4, Lion Server v10.7.4
Impacto: Un atacante podría escapar de la zona protegida y acceder a cualquier archivo al que el usuario actual tenga acceso
Descripción: Existía un problema de control de acceso en el procesamiento de direcciones URL de archivos. Un atacante con capacidad de ejecutar código arbitrario en un WebProcess de Safari podría eludir la zona protegida y acceder a cualquier archivo al que tenga acceso el usuario que ejecute Safari. Para solucionar este problema, se debe mejorar el procesamiento de direcciones URL de archivos.
ID CVE
CVE-2012-3697: Aaron Sigel de vtty.com
WebKit
Disponible para: OS X Lion v10.7.4, Lion Server v10.7.4
Impacto: Visitar un sitio web creado con fines malintencionados podía provocar la divulgación de contenido de la memoria
Descripción: Existía un problema de acceso a memoria no inicializada en el manejo de imágenes SVG. Para solucionar este problema, se debe mejorar la inicialización de la memoria.
ID CVE
CVE-2012-3650: Apple
La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.