Background Print only logo
Cert logo
på svenska | in English 		www.viestintävirasto.fi
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2012 > CERT-FI haavoittuvuustiedote 043/2012

CERT-FI haavoittuvuustiedote 043/2012

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

13.3.2012

Apple Safari -selaimen päivityksessä korjattu haavoittuvuuksia

     
Kohde: - työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - paikallisesti
- ilman kirjautumista
- etäkäyttö
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
- luottamuksellisen tiedon hankkiminen
- suojauksen ohittaminen
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

Apple Safarin versiossa 5.1.4 on korjattu joukko haavoittuvuuksia, joista vakavimmat voivat mahdollistaa hyökkääjän koodin suorittamisen kohteena olevassa tietokoneessa.

Safari:

Safarin tuki IDN-koodausta käyttäville verkkotunnuksille voi mahdollistaa harhaanjohtavan osoitteen käyttämisen sivuston osoitteena (CVE-2012-0584).

Käyttäjän selailuhistoria voi olla saatavilla, vaikka käyttäjä olisi valinnut Private Browsing -tilan (CVE-2012-0585).

Webkit:

Webkit sisältää useita cross-site scripting -haavoittuvuuksia (CVD-2011-3881, CVE-2012-0586, CVE-2012-0587, CVE-2012-0588, CVE-2012-0589).

Käyttäjän evästeet voivat olla saavutettavissa eri sivuston kontekstissa (CVE-2011-3887).

Vedä-ja-pudota -menetelmän (drag and drop) käyttäminen sivustojen välilä voi mahdollistaa cross-site scripting -hyökkäyksen (CVE-2012-0590).

Muistin käsittelyn virheet voivat mahdollistaa hyökkääjän ohjelmakoodin suorittamisen tietokoneessa, jos käyttäjä vierailee tietyllä tavalla muokatulla www-sivulla (CVE-2011-2825, CVE-2011-2833, CVE-2011-2846, CVE-2011-2847, CVE-2011-2854, CVE-2011-2855, CVE-2011-2857, CVE-2011-2860, CVE-2011-2866, CVE-2011-2867, CVE-2011-2868, CVE-2011-2869, CVE-2011-2870, CVE-2011-2871, CVE-2011-2872, CVE-2011-2873, CVE-2011-2877, CVE-2011-3885, CVE-2011-3888, CVE-2011-3897, CVE-2011-3908, CVE-2011-3909, CVE-2011-3928, CVE-2012-0591, CVE-2012-0592, CVE-2012-0593, CVE-2012-0594, CVE-2012-0595, CVE-2012-0596, CVE-2012-0597, CVE-2012-0598, CVE-2012-0599, CVE-2012-0600, CVE-2012-0601, CVE-2012-0602, CVE-2012-0603, CVE-2012-0604, CVE-2012-0605, CVE-2012-0606, CVE-2012-0607, CVE-2012-0608, CVE-2012-0609, CVE-2012-0610, CVE-2012-0611, CVE-2012-0612, CVE-2012-0613, CVE-2012-0614, CVE-2012-0615, CVE-2012-0616, CVE-2012-0617, CVE-2012-0618, CVE-2012-0619, CVE-2012-0620, CVE-2012-0621, CVE-2012-0622, CVE-2012-0623, CVE-2012-0624, CVE-2012-0625, CVE-2012-0626, CVE-2012-0627, CVE-2012-0628, CVE-2012-0629, CVE-2012-0630, CVE-2012-0631, CVE-2012-0632, CVE-2012-0633, CVE-2012-0635, CVE-2012-0636, CVE-2012-0637, CVE-2012-0638, CVE-2012-0639, CVE-2012-0648).

Sivustot voivat tallentaa evästeitä, vaikka se olisi kielletty Safarin asetuksissa (CVE-2012-0640).

HTTP-kirjautumistiedot voivat vuotaa toiselle sivustolle uudelleenohjauksen yhteydessä (CVE-2012-0647).

HAAVOITTUVAT OHJELMISTOT:

  • Apple Safari versiota 5.1.4 vanhemmat versiot Mac OS X 10.6-, OS X Lion- ja Windows-käyttöjärjestelmiä varten

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva ohjelmisto korjattuun versioon valmistajan ohjeiden mukaisesti.

LISÄTIETOA:

PÄIVITYSHISTORIA:

13.3.2012, kello 13.04: Julkaistu

Sivua päivitetty 13.03.2012   Tulostusversio Tulostusversio