Informacije o sigurnosnom sadržaju preglednika Safari 5.1 i Safari 5.0.6
Ovaj dokument opisuje sigurnosni sadržaj preglednika Safari 5.1 i Safari 5.0.6. Preglednik Safari 5.1 uključen je u sustav OS X Lion.
Radi zaštite svojih klijenata tvrtka Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do provođenja cjelovite istrage te dok potrebne zakrpe i izdanja ne postanu dostupni. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto Sigurnost Appleovih proizvoda.
Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite na web-mjestu „Upotreba PGP ključa za sigurnost Appleovih proizvoda."
Kada je to moguće, CVE ID-jevi služe kao referenca za dodatne informacije o slabim točkama.
Da biste saznali više o sigurnosnim ažuriranjima, posjetite web-mjesto „Appleova sigurnosna ažuriranja."
Safari 5.1 i Safari 5.0.6
CFNetwork
Dostupno za: Windows 7, Vista, XP SP2 ili novije verzije
Učinak: posjet zlonamjernom web-mjestu može uzrokovati napad skriptiranjem na više web-mjesta
Opis: u određenim situacijama Safari može tretirati datoteku kao HTML, čak i ako je poslužena s vrstom sadržaja „običan tekst”. To može dovesti do napada unakrsnim skriptiranjem na web-mjesta koja dopuštaju nepouzdanim korisnicima objavu tekstnih datoteka. Ovaj problem rješava se poboljšanim upravljanjem sadržajem „običan tekst”.
CVE-ID
CVE-2010-1420 : korisnik Hidetake Jo koji surađuje s programom Microsoft Vulnerability Research (MSVR), Neal Poole iz tvrtke Matasano Security
CFNetwork
Dostupno za: Windows 7, Vista, XP SP2 ili novije verzije
Učinak: autorizacija na zlonamjernom web-mjestu može dovesti do izvršavanja proizvoljnog koda
Opis: protokol za autorizaciju NTLM podložan je napadu ponovljenim prijenosom podataka koji se naziva preslikom vjerodajnica. Autorizacija na zlonamjernom web-mjestu može dovesti do izvršavanja proizvoljnog koda. Za ublažavanje ovog problema preglednik Safari ažuriran je kako bi se iskoristili mehanizmi zaštite koji su nedavno dodani sustavu Windows. Problem ne utječe na sustave Mac OS X.
CVE-ID
CVE-2010-1383 : Takehiro Takahashi iz tima za istraživanje platforme IBM X-Force
CFNetwork
Dostupno za: Windows 7, Vista, XP SP2 ili novije verzije
Učinak: onemogućeni korijenski certifikat možda je i dalje pouzdan
Opis: softverski okvir CFNetwork nije ispravno potvrdio da je certifikat pouzdan za upotrebu putem SSL poslužitelja. Kao rezultat toga, ako je korisnik označio korijenski certifikat sustava kao nepouzdan, preglednik Safari i dalje prihvaća certifikate potpisane tim korijenom. Problem je riješen poboljšanom provjerom valjanosti certifikata. Problem ne utječe na sustave Mac OS X.
CVE-ID
CVE-2011-0214 : anonimni prijavitelj
ColorSync
Dostupno za: Windows 7, Vista, XP SP2 ili novije verzije
Učinak: prikaz zlonamjerne slike s ugrađenim profilom ColorSync može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: pri obradi slika s ugrađenim profilom ColorSync došlo je do prekoračenja cijelih brojeva, što može uzrokovati prekoračenje međuspremnika skupa. Otvaranje zlonamjerne slike s ugrađenim ColorSync profilom može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Za sustave Mac OS X v10.5 problem je riješen sigurnosnim ažuriranjem 2011-004.
CVE-ID
CVE-2011-0200: binaryproof radi na TippingPoint-ovoj inicijativi Zero Day Initiative
CoreFoundation
Dostupno za: Windows 7, Vista, XP SP2 ili novije verzije
Učinak: aplikacije koje upotrebljavaju okruženje CoreFoundation mogu biti podložne neočekivanom zatvaranju ili izvršavanju proizvoljnog koda
Opis: pri obradi nizova CFString postojao je problem s prekoračenjem međuspremnika radi izvršavanja postupka više od jednom. Aplikacije koje upotrebljavaju okruženje CoreFoundation mogu biti podložne neočekivanom zatvaranju ili izvršavanju proizvoljnog koda. Za sustave Mac OS X v10.6 taj je problem riješen u verziji Mac OS X v10.6.8.
CVE-ID
CVE-2011-0201 : Harry Sintonen
CoreGraphics
Dostupno za: Windows 7, Vista, XP SP2 ili novije verzije
Učinak: otvaranje zlonamjerne PDF datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: postojao je problem prekoračenja cijelih brojeva pri obradi fontova vrste 1. Pregled ili preuzimanje dokumenta koji sadrži zlonamjerno izrađen ugrađeni font može uzrokovati izvršavanje proizvoljnog koda. Za sustave Mac OS X v10.6 problem je riješen u verziji Mac OS X v10.6.8. Za sustave Mac OS X v10.5 problem je riješen sigurnosnim ažuriranjem 2011-004.
CVE-ID
CVE-2011-0202 : Cristian Draghici iz tvrtke Modulo Consulting, Felix Grobert iz Googleovog tima za sigurnost
International Components for Unicode
Dostupno za: Windows 7, Vista, XP SP2 ili novije verzije
Učinak: aplikacije koje upotrebljavaju ICU mogu biti podložne neočekivanom zatvaranju ili izvršavanju proizvoljnog koda
Opis: pri obradi nizova sastavljenih od velikih slova koju vrši ICU postojao je problem s prekoračenjem međuspremnika. Aplikacije koje upotrebljavaju ICU mogu biti podložne neočekivanom zatvaranju ili izvršavanju proizvoljnog koda. Za sustave Mac OS X v10.6 taj je problem riješen u verziji Mac OS X v10.6.8.
CVE-ID
CVE-2011-0206 : David Bienvenu iz tvrtke Mozilla
ImageIO
Dostupno za: Windows 7, Vista, XP SP2 ili novije verzije
Učinak: prikaz zlonamjerne TIFF slike može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: prilikom obrade TIFF slika koju vrši ImageIO došlo je do prekoračenja međuspremnika skupa. Prikaz zlonamjerne TIFF slike može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Za sustave Mac OS X v10.6 problem je riješen u verziji Mac OS X v10.6.8. Za sustave Mac OS X v10.5 problem je riješen sigurnosnim ažuriranjem 2011-004.
CVE-ID
CVE-2011-0204 : Dominic Chell iz tvrtke NGS Secure
ImageIO
Dostupno za: Windows 7, Vista, XP SP2 ili novije verzije
Učinak: prikaz zlonamjerne TIFF slike može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: prilikom obrade kodiranih TIFF slika CCITT grupe 4 koju vrši ImageIO došlo je do prekoračenja međuspremnika skupa. Prikaz zlonamjerne TIFF slike može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda.
CVE-ID
CVE-2011-0241: Cyril CATTIAUX iz tvrtke Tessi Technologies
ImageIO
Dostupno za: Windows 7, Vista, XP SP2 ili novije verzije
Učinak: prikaz zlonamjerne TIFF slike može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: pri obradi TIFF slika koju vrši ImageIO postojao je problem ponovnog ulaska (reentrancy). Prikaz zlonamjerne TIFF slike može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Problem ne utječe na sustave Mac OS X.
CVE-ID
CVE-2011-0215: Juan Pablo Lopez Yacubian koji radi s programom iDefense VCP
ImageIO
Dostupno za: Windows 7, Vista, XP SP2 ili novije verzije
Učinak: prikaz zlonamjerne TIFF slike može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: prilikom obrade TIFF slika koju vrši ImageIO došlo je do prekoračenja međuspremnika skupa. Prikaz zlonamjerne TIFF slike može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Za sustave Mac OS X v10.6 problem je riješen u verziji Mac OS X v10.6.8. Za sustave Mac OS X v10.5 problem je riješen sigurnosnim ažuriranjem 2011-004.
CVE-ID
CVE-2011-0204 : Dominic Chell iz tvrtke NGS Secure
libxslt
Dostupno za: Windows 7, Vista, XP SP2 ili novije verzije
Učinak: posjet zlonamjernom web-mjestu može dovesti do otkrivanja adresa u skupu
Opis: implementacijom funkcije generate-id() XPath putem medijateke libxslt otkrivena je adresa međuspremnika skupa. Posjet zlonamjernom web-mjestu može dovesti do otkrivanja adresa u skupu. Problem se rješava generiranjem ID-a na temelju razlike između adresa dvaju međuspremnika snopova. Za sustave Mac OS X v10.6 problem je riješen u verziji Mac OS X v10.6.8. Za sustave Mac OS X v10.5 problem je riješen sigurnosnim ažuriranjem 2011-004.
CVE-ID
CVE-2011-0195 : Chris Evans iz tima za sigurnost preglednika Google Chrome
libxml
Dostupno za: Windows 7, Vista, XP SP2 ili novije verzije
Učinak: posjet zlonamjernom web-mjestu može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: pri obradi XML podataka koju vrši libxml došlo je do prekoračenja međuspremnika skupa za jedan bajt. Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda.
CVE-ID
CVE-2011-0216: Billy Rios iz Googleovog tima za sigurnost
Safari
Dostupno za: Mac OS X v10.6.8 ili novije verzije, Mac OS X Server v10.6.8 ili novije verzije, Windows 7, Vista, XP SP2 ili novije verzije
Učinak: ako je omogućena značajka „Automatsko ispunjavanje web-obrazaca”, posjet zlonamjernom web-mjestu i upisivanje može dovesti do otkrivanja podataka iz adresara korisnika
Opis: značajka „Automatsko ispunjavanje web-obrazaca” preglednika Safari ispunila je polja obrasca koja nisu vidljiva i podacima je bio moguć pristup putem skripti na web-mjestu prije nego što je korisnik poslao obrazac. Ovaj problem riješen je prikazivanjem svih polja koja će se ispuniti i traženjem pristanka korisnika prije nego što se informacije za automatsko ispunjavanje stave na raspolaganje za obrazac.
CVE-ID
CVE-2011-0217 : Florian Rienhardt iz tvrtke BSI, Alex Lambert, Jeremiah Grossman
Safari
Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.8 ili novije verzije, Mac OS X Server v10.6.8 ili novije verzije, Windows 7, Vista, XP SP2 ili novije verzije
Učinak: kod određene konfiguracije programskog jezika Java, posjet zlonamjernom web-mjestu može dovesti do prikazivanja neočekivanog teksta na drugim web-mjestima
Opis: prilikom obrade Java apleta postojao je problem s resursima iz više izvora. Ovo se primjenjuje kad je programski jezik Java omogućen u pregledniku Safari i konfiguriran za pokretanje u procesu preglednika. Fontovi koje učitava Java aplet mogu utjecati na prikazivanje tekstnog sadržaja s drugih web-mjesta. Ovaj problem riješen je pokretanjem Java apleta u posebnom procesu.
CVE-ID
CVE-2011-0219 : Joshua Smith iz tvrtke Kaon Interactive
WebKit
Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.8 ili novije verzije, Mac OS X Server v10.6.8 ili novije verzije, Windows 7, Vista, XP SP2 ili novije verzije
Učinak: pristup zlonamjernom web-mjestu može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: postoji više problema s oštećenjem memorije u komponenti WebKit. Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda.
CVE-ID
CVE-2010-1823 : David Weston iz tvrtke Microsoft i programa Microsoft Vulnerability Research (MSVR), wushi (team509) i Yong Li iz tvrtke Research In Motion Ltd
CVE-2011-0164 : Apple
CVE-2011-0218 : SkyLined iz tima za sigurnost preglednika Google Chrome
CVE-2011-0221 : Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome
CVE-2011-0222 : Nikita Tarakanov i Alex Bazhanyuk iz istraživačkog tima CISS Research Team te Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome
CVE-2011-0223 : Jose A. Vazquez s platforme spa-s3c.blogspot.com u suradnji s programom iDefense VCP
CVE-2011-0225 : Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome
CVE-2011-0232 : J23 u suradnji s projektom Zero Day Initiative odjela TippingPoint
CVE-2011-0233 : wushi (team509) u suradnji s projektom Zero Day Initiative odjela TippingPoint
CVE-2011-0234 : Rob King u suradnji s projektom Zero Day Initiative odjela TippingPoint, wushi (team509) u suradnji s projektom Zero Day Initiative odjela TippingPoint, wushi (team509) u suradnji s programom iDefense VCP
CVE-2011-0235 : Abhishek Arya (Inferno) iz tima za sigurnost preglednika Google Chrome
CVE-2011-0237 : wushi (team509) u suradnji s programom iDefense VCP
CVE-2011-0238 : Adam Barth iz tima za sigurnost Google Chrome
CVE-2011-0240 : wushi (team509) u suradnji s programom iDefense VCP
CVE-2011-0253 : Richard Keen
CVE-2011-0254 : anonimni istraživač u suradnji s projektom Zero Day Initiative odjela TippingPoint
CVE-2011-0255 : anonimni istraživač u suradnji s projektom Zero Day Initiative odjela TippingPoint
CVE-2011-0981 : Rik Cabanier iz tvrtke Adobe Systems, Inc
CVE-2011-0983 : Martin Barbella
CVE-2011-1109 : Sergey Glazunov
CVE-2011-1114 : Martin Barbella
CVE-2011-1115 : Martin Barbella
CVE-2011-1117 : wushi (team509)
CVE-2011-1121 : miaubiz
CVE-2011-1188 : Martin Barbella
CVE-2011-1203 : Sergey Glazunov
CVE-2011-1204 : Sergey Glazunov
CVE-2011-1288 : Andreas Kling iz tvrtke Nokia
CVE-2011-1293 : Sergey Glazunov
CVE-2011-1296 : Sergey Glazunov
CVE-2011-1449 : Marek Majkowski, wushi (team 509) u suradnji s programom iDefense VCP
CVE-2011-1451 : Sergey Glazunov
CVE-2011-1453 : wushi (team509) u suradnji s projektom Zero Day Initiative odjela TippingPoint
CVE-2011-1457 : John Knottenbelt iz tvrtke Google
CVE-2011-1462 : (team509)
CVE-2011-1797 : wushi (team509)
CVE-2011-3438 : wushi (team509) u suradnji s programom iDefense VCP
CVE-2011-3443 : anonimni istraživač u suradnji s programom iDefense VCP
WebKit
Dostupno: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.8 ili novije verzije, Mac OS X Server v10.6.8 ili novije verzije, Windows 7, Vista, XP SP2 ili novije verzije
Učinak: posjet zlonamjernom web-mjestu može dovesti do izvršavanja proizvoljnog koda
Opis: pri upotrebi medijateke llibxslt putem komponente WebKit postojao je problem s konfiguracijom. Posjet zlonamjernom web-mjestu može uzrokovati stvaranje proizvoljnih datoteka s korisnikovim ovlastima, što bi moglo dovesti do izvršavanja proizvoljnog koda. Problem se rješava poboljšanim postavkama sigurnosti za libxslt.
CVE-ID
CVE-2011-1774: Nicolas Gregoire iz tvrtke Agarri
WebKit
Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.8 ili novije verzije, Mac OS X Server v10.6.8 ili novije verzije, Windows 7, Vista, XP SP2 ili novije verzije
Učinak: posjet zlonamjernom web-mjestu može dovesti do otkrivanja podataka
Opis: pri obradi Java skripti Web Worker postojao je problem s resursima iz više izvora. Posjet zlonamjernom web-mjestu može dovesti do otkrivanja podataka.
CVE-ID
CVE-2011-1190 : Daniel Divricean s web-mjesta divricean.ro
WebKit
Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.8 ili novije verzije, Mac OS X Server v10.6.8 ili novije verzije, Windows 7, Vista, XP SP2 ili novije verzije
Učinak: posjet zlonamjernom web-mjestu može dovesti do napada skriptiranjem na više web-mjesta
Opis: pri obradi URL-a s ugrađenim korisničkim imenom postojao je problem s resursima iz više izvora. Posjet zlonamjernom web-mjestu mogao bi dovesti do napada unakrsnim skriptiranjem između različitih web-mjesta. Problem se rješava boljom obradom URL-ova s ugrađenim korisničkim imenom.
CVE-ID
CVE-2011-0242 : Jobert Abma iz tvrtke Online24
WebKit
Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.8 ili novije verzije, Mac OS X Server v10.6.8 ili novije verzije, Windows 7, Vista, XP SP2 ili novije verzije
Učinak: posjet zlonamjernom web-mjestu može dovesti do napada skriptiranjem na više web-mjesta
Opis: pri obradi DOM čvorova postojao je problem s resursima iz više izvora. Posjet zlonamjernom web-mjestu može dovesti do napada unakrsnim skriptiranjem na više web-mjesta.
CVE-ID
CVE-2011-1295 : Sergey Glazunov
WebKit
Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.8 ili novije verzije, Mac OS X Server v10.6.8 ili novije verzije, Windows 7, Vista, XP SP2 ili novije verzije
Učinak: zlonamjerno web-mjesto može uzrokovati prikazivanje različitog URL-a u adresnoj traci
Opis: pri obradi DOM objekta povijesti postojao je problem s lažiranjem URL-a. Zlonamjerno web-mjesto moglo je uzrokovati prikazivanje različitog URL-a u adresnoj traci.
CVE-ID
CVE-2011-1107 : Jordi Chancel
WebKit
Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.8 ili novije verzije, Mac OS X Server v10.6.8 ili novije verzije, Windows 7, Vista, XP SP2 ili novije verzije
Učinak: pretplata na zlonamjerni RSS feed i klikanje na vezu u njemu mogu dovesti do otkrivanja podataka
Opis: pri obradi URL-ova postojao je problem s kanonikalizacijom. Pretplata na zlonamjerni RSS feed i klikanje na vezu u njemu može dovesti do slanja proizvoljnih datoteka iz sustava korisnika udaljenom poslužitelju. Ovim je ažuriranjem problem riješen poboljšanjem rukovanja URL-ovima.
CVE-ID
CVE-2011-0244 : Jason Hullinger
WebKit
Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.8 ili novije verzije, Mac OS X Server v10.6.8 ili novije verzije, Windows 7, Vista, XP SP2 ili novije verzije
Učinak: aplikacije koje upotrebljavaju WebKit, kao što su e-mail klijenti, mogu se povezati na proizvoljni DNS poslužitelj nakon obrade HTML sadržaja
Opis: preddohvaćanje DNS-a omogućeno je po zadanom u komponenti WebKit. Aplikacije koje upotrebljavaju WebKit, kao što su e-mail klijenti, mogu se povezati na proizvoljni DNS poslužitelj nakon obrade HTML sadržaja. Ovo ažuriranje rješava problem slanjem zahtjeva aplikacijama za pristanak na preddohvaćanje DNS-a.
CVE-ID
CVE-2010-3829 : Mike Cardwell iz tvrtke Cardwell IT Ltd.
Važno: navođenje web-mjesta i proizvoda trećih strana samo je informativne naravi i ne predstavlja njihovo odobravanje ni preporuku. Apple ne preuzima odgovornost za izbor, performanse ili upotrebu informacija ili proizvoda koji se mogu pronaći na web-mjestima trećih strana. Apple navedeno pruža samo radi boljeg korisničkog iskustva naših korisnika. Apple nije ispitao informacije pronađene na ovim web-mjestima i ne iznosi nikakve tvrdnje vezane za njihovu točnost ili pouzdanost. Upotreba informacija ili proizvoda s interneta može predstavljati određene rizike, a Apple ne preuzima odgovornost po tom pitanju. Imajte na umu da je web-mjesto treće strane neovisno u odnosu na Apple te da Apple ne upravlja sadržajem tih web-mjesta. Obratite se dobavljaču za više informacija.