Tietoja Safari 3.1.1:n turvallisuussisällöstä
Tässä asiakirjassa kuvataan Safari 3.1.1:n turvallisuussisältö. Päivitys voidaan ladata ja asentaa Ohjelmiston päivitykset -asetusten avulla tai Apple Downloads -sivustosta.
Suojellakseen asiakkaitaan Apple ei paljasta tai anna tietoja tietoturvaongelmista tai vahvista niitä, ennen kuin täydellinen tutkinta on suoritettu ja tarpeelliset korjauspäivitykset ovat saatavilla. Lisätietoja Apple-tuotteiden tietoturvasta on Apple-tuotteiden tietoturva -sivustossa.
Lisätietoja Apple-tuotteiden tietoturvan PGP-avaimesta on englanninkielisessä artikkelissa How to use the Apple Product Security PGP Key.
CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viitteinä haavoittuvuuksien lisätietoihin.
Tietoja muista tietoturvapäivityksistä on sivulla Applen turvallisuuspäivitykset.
Tuoteturvallisuus, Safari 3.1, Safari 3 (Windows)
Safari 3.1.1
CVE-ID: CVE-2007-2398
Yhteensopiva Windows XP- tai Windows Vista -käyttöjärjestelmän kanssa
Vaikutus: Haitallisesti koottu verkkosivusto saattaa hallita osoiterivin sisältöä
Kuvaus: Ajastusongelma Safari 3.1:ssä sallii verkkosivuston muuttavan osoiterivin sisältöä niin, ettei vastaavan sivuston sisältöä ladata. Tätä ongelmaa voidaan käyttää hyödyksi laillisen sivuston sisällön huijauksessa, niin että käyttäjävaltuuksia tai muuta tietoja pystytään sieppaamaan. Tämä ongelma ilmeni alunperin Safari Beta 3.0.2:ssa ja sittemmin uudelleen Safari 3.1:ssä. Tämä päivitys korjaa ongelman palauttamalla osoiterivin sisällön, jos pyyntö uudelle verkkosivulle keskeytetään. Tämä ongelma ei koske Mac OS X -järjestelmiä.
CVE-ID: CVE-2008-1024
Yhteensopiva Windows XP- tai Windows Vista -käyttöjärjestelmän kanssa
Vaikutus: Käynti haitallisesti kootussa verkkosivustossa voi johtaa sovelluksen odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suoritukseen.
Kuvaus: Safarin tiedostojen latauksessa on muistin vahingoittumisongelma. Houkuttelemalla käyttäjän avaamaan haitallisesti nimetyn .download-tiedoston hyökkääjä voi aiheuttaa sen, että ohjelma sulkeutuu yllättäen tai mielivaltainen koodi suoritetaan. Tämä päivitys korjaa ongelman entistä paremmalla lataustiedostojen käsittelyllä. Tämä ongelma ei koske Mac OS X -järjestelmiä.
CVE-ID: CVE-2008-1025
Soveltuu käyttöjärjestelmiin Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2, Windows XP tai Vista
Vaikutus: Haitallisen verkkosivuston selaaminen saattaa johtaa siihen, että tietokoneeseen hyökätään sivustojen välisten tietoturva-aukkojen kautta
Kuvaus: WebKitissä on ongelma sellaisten URL-osoitteiden käsittelyssä, joiden palvelinnimessä on kaksoispiste Haitallisesti kootun URL:n avaaminen voi johtaa tietoturva-aukon kautta tapahtuvaan hyökkäykseen. Tämä päivitys korjaa ongelman entistä paremmalla URL-osoitteiden käsittelyllä. Kiitos tämän ongelman ilmoittamisesta kuuluu Google Information Security Teamissa työskentelevälle Robert Swieckille sekä David Bloomille.
CVE-ID: CVE-2008-1026
Soveltuu käyttöjärjestelmiin Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2, Windows XP tai Vista
Vaikutus: Haitallisen verkkosivuston selaaminen voi johtaa sovelluksen odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suoritukseen.
Kuvaus: WebKitissä on laaja puskurin ylivuoto-ongelma JavaScriptin normaalilausekkeiden käsittelyssä. Ongelman saattaa laukaista se, että käsitellään JavaScriptin tavallisia lausekkeita, joissa on paljon sisäkkäisiä, toistuvia summia. Tämä voi johtaa yllättävään ohjelman sulkeutumiseen tai mielivaltaisen koodin suorittamiseen. Tämä päivitys korjaa ongelman suorittamalla ylimääräisen JavaScriptin säännöllisten lausekkeiden tarkistuksen. Kiitos tämän ongelman ilmoittamisesta kuuluu Charlie Millerille.
Important: Information about products not manufactured by Apple is provided for information purposes only and does not constitute Apple’s recommendation or endorsement. Please contact the vendor for additional information.