Acerca del contenido de seguridad de Safari 5.1.4

Este documento describe el contenido de seguridad de Safari 5.1.4.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta "Cómo utilizar la clave PGP de seguridad de los productos de Apple".

Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".

Safari 5.1.4

• Safari

Disponible para: Windows 7, Vista, XP SP2 o posterior

Impacto: Caracteres "parecidos" en una URL que pueden utilizarse para enmascarar un sitio web

Descripción: La compatibilidad con International Domain Name (IDN) de Safari podría usarse para crear una URL que contuviera caracteres "parecidos". Estos podrían emplearse en un sitio web creado con fines malintencionados para remitir al usuario a un sitio falso que visualmente pareciese ser un dominio legítimo. Este problema se resuelve mediante una comprobación de validez de nombre de dominio mejorada. Este problema no afecta a los sistemas OS X.

ID CVE

CVE-2012-0584: Matt Cooley, de Symantec

• Safari

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.3, OS X Lion Server v10.7.3, Windows 7, Vista, XP SP2 o posterior

Impacto: Las visitas a páginas web podrían almacenarse en el historial del navegador incluso cuando la navegación privada está activada

Descripción: La navegación privada de Safari está diseñada para impedir el registro de una sesión de navegación. Las páginas visitadas como resultado de que un sitio use los métodos JavaScript pushState o replaceState se registraban en el historial del navegador incluso cuando el modo de navegación privada estaba activado. Este problema se ha solucionado impidiendo el registro de esas visitas cuando la navegación privada está activada.

ID CVE

CVE-2012-0585: Eric Melville, de American Express

• WebKit

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.3, OS X Lion Server v10.7.3, Windows 7, Vista, XP SP2 o posterior

Impacto: Visitar un sitio web creado con fines malintencionados podría provocar un ataque basado en la vulnerabilidad de secuencias de comandos en sitios cruzados

Descripción: Existían múltiples problemas de vulnerabilidad de secuencias de comandos entre sitios cruzados en WebKit

ID CVE

CVE-2011-3881: Sergey Glazunov

CVE-2012-0586: Sergey Glazunov

CVE-2012-0587: Sergey Glazunov

CVE-2012-0588: Jochen Eisinger, del Google Chrome Team

CVE-2012-0589: Alan Austin, de polyvore.com

• WebKit

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.3, OS X Lion Server v10.7.3, Windows 7, Vista, XP SP2 o posterior

Impacto: La visita a un sitio web creado con fines malintencionados podía provocar la divulgación de cookies

Descripción: Existía un problema de orígenes cruzados en WebKit que podía permitir que las cookies se divulgaran entre orígenes.

ID CVE

CVE-2011-3887: Sergey Glazunov

• WebKit

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.3, OS X Lion Server v10.7.3, Windows 7, Vista, XP SP2 o posterior

Impacto: La visita a un sitio web creado con fines malintencionados y arrastrar contenidos con el ratón podría provocar un ataque basado en la vulnerabilidad de secuencias de comandos entre sitios cruzados

Descripción: Existía un problema de orígenes cruzados en WebKit que podía permitir que se arrastrase y soltase contenido entre orígenes.

ID CVE

CVE-2012-0590: Adam Barth, del Google Chrome Security Team

• WebKit

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.3, OS X Lion Server v10.7.3, Windows 7, Vista, XP SP2 o posterior

Impacto: Visitar un sitio web creado con fines malintencionados podía provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: Existían varios problemas de corrupción de memoria en WebKit.

ID CVE

CVE-2011-2825: wushi, del team509, colaborador de la Zero Day Initiative de TippingPoint

CVE-2011-2833: Apple

CVE-2011-2846: Arthur Gerkis, miaubiz

CVE-2011-2847: miaubiz, Abhishek Arya (Inferno), del Google Chrome Security Team, usando AddressSanitizer

CVE-2011-2854: Abhishek Arya (Inferno), del Google Chrome Security Team, usando AddressSanitizer

CVE-2011-2855: Arthur Gerkis, wushi, del team509, colaborador de iDefense VCP

CVE-2011-2857: miaubiz

CVE-2011-2860: Abhishek Arya (Inferno), del Google Chrome Security Team, usando AddressSanitizer

CVE-2011-2866: Abhishek Arya (Inferno), del Google Chrome Security Team, usando AddressSanitizer

CVE-2011-2867: Dirk Schulze

CVE-2011-2868: Abhishek Arya (Inferno), del Google Chrome Security Team, usando AddressSanitizer

CVE-2011-2869: Cris Neckar, del Google Chrome Security Team, usando AddressSanitizer

CVE-2011-2870: Abhishek Arya (Inferno), del Google Chrome Security Team, usando AddressSanitizer

CVE-2011-2871: Abhishek Arya (Inferno), del Google Chrome Security Team, usando AddressSanitizer

CVE-2011-2872: Abhishek Arya (Inferno) y Cris Neckar, del Google Chrome Security Team, usando AddressSanitizer

CVE-2011-2873: Abhishek Arya (Inferno), del Google Chrome Security Team, usando AddressSanitizer

CVE-2011-2877: miaubiz

CVE-2011-3885: miaubiz

CVE-2011-3888: miaubiz

CVE-2011-3897: pa_kt, colaborador de la Zero Day Initiative de TippingPoint

CVE-2011-3908: Aki Helin, de OUSPG

CVE-2011-3909: Google Chrome Security Team (scarybeasts) y Chu

CVE-2011-3928: wushi, del team509, colaborador de la Zero Day Initiative de TippingPoint

CVE-2012-0591: miaubiz y Martin Barbella

CVE-2012-0592: Alexander Gavrun, colaborador de la Zero Day Initiative de TippingPoint

CVE-2012-0593: Lei Zhang, de la comunidad de desarrollo Chromium

CVE-2012-0594: Adam Klein, de la comunidad de desarrollo Chromium

CVE-2012-0595: Apple

CVE-2012-0596: Abhishek Arya (Inferno), del Google Chrome Security Team, usando AddressSanitizer

CVE-2012-0597: miaubiz

CVE-2012-0598: Sergey Glazunov

CVE-2012-0599: Dmytro Gorbunov, de SaveSources.com

CVE-2012-0600: Marshall Greenblatt, Dharani Govindan, de Google Chrome; miaubiz; Aki Helin, de OUSPG

CVE-2012-0601: Apple

CVE-2012-0602: Apple

CVE-2012-0603: Apple

CVE-2012-0604: Apple

CVE-2012-0605: Apple

CVE-2012-0606: Apple

CVE-2012-0607: Apple

CVE-2012-0608: Abhishek Arya (Inferno), del Google Chrome Security Team, usando AddressSanitizer

CVE-2012-0609: Abhishek Arya (Inferno), del Google Chrome Security Team, usando AddressSanitizer

CVE-2012-0610: miaubiz; Martin Barbella, usando AddressSanitizer

CVE-2012-0611: Martin Barbella, usando AddressSanitizer

CVE-2012-0612: Abhishek Arya (Inferno), del Google Chrome Security Team, usando AddressSanitizer

CVE-2012-0613: Abhishek Arya (Inferno), del Google Chrome Security Team, usando AddressSanitizer

CVE-2012-0614: miaubiz; Martin Barbella, usando AddressSanitizer

CVE-2012-0615: Martin Barbella, usando AddressSanitizer

CVE-2012-0616: miaubiz

CVE-2012-0617: Martin Barbella, usando AddressSanitizer

CVE-2012-0618: Abhishek Arya (Inferno), del Google Chrome Security Team, usando AddressSanitizer

CVE-2012-0619: Abhishek Arya (Inferno), del Google Chrome Security Team, usando AddressSanitizer

CVE-2012-0620: Abhishek Arya (Inferno), del Google Chrome Security Team, usando AddressSanitizer

CVE-2012-0621: Martin Barbella, usando AddressSanitizer

CVE-2012-0622: Dave Levin y Abhishek Arya, del Google Chrome Security Team

CVE-2012-0623: Abhishek Arya (Inferno), del Google Chrome Security Team, usando AddressSanitizer

CVE-2012-0624: Martin Barbella, usando AddressSanitizer

CVE-2012-0625: Martin Barbella

CVE-2012-0626: Abhishek Arya (Inferno), del Google Chrome Security Team, usando AddressSanitizer

CVE-2012-0627: Apple

CVE-2012-0628: Slawomir Blazek, miaubiz; Abhishek Arya (Inferno), del Google Chrome Security Team, usando AddressSanitizer

CVE-2012-0629: Abhishek Arya (Inferno), del Google Chrome Security Team

CVE-2012-0630: Sergio Villar Senin, de Igalia

CVE-2012-0631: Abhishek Arya (Inferno), del Google Chrome Security Team

CVE-2012-0632: Cris Neckar, del Google Chrome Security Team, usando AddressSanitizer

CVE-2012-0633: Apple

CVE-2012-0635: Julien Chaffraix, de la comunidad de desarrollo Chromium; Martin Barbella, usando AddressSanitizer

CVE-2012-0636: Jeremy Apthorp de Google; Abhishek Arya (Inferno), del Google Chrome Security Team, usando AddressSanitizer

CVE-2012-0637: Apple

CVE-2012-0638: Abhishek Arya (Inferno), del Google Chrome Security Team, usando AddressSanitizer

CVE-2012-0639: Abhishek Arya (Inferno), del Google Chrome Security Team, usando AddressSanitizer

CVE-2012-0648: Apple

• WebKit

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.3, OS X Lion Server v10.7.3, Windows 7, Vista, XP SP2 o posterior

Impacto: Sitios de terceros podrían fijar cookies, incluso cuando Safari está configurado para bloquearlas

Descripción: Existía un problema con la ejecución de la política de cookies. Los sitios web de terceros podían fijar cookies si la preferencia "Bloquear cookies" de Safari estaba configurada con el ajuste predeterminado "De publicidad y de terceros".

ID CVE

CVE-2012-0640: nshah

• WebKit

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.3, OS X Lion Server v10.7.3, Windows 7, Vista, XP SP2 o posterior

Impacto: Las credenciales de autenticación HTTP podían divulgarse inesperadamente a otro sitio web

Descripción: Si un sitio web usa autenticación HTTP y redirige a otro sitio web, las credenciales de autenticación podrían enviarse al otro sitio web.

ID CVE

CVE-2012-0647: Un investigador anónimo