Informacje o zawartości związanej z zabezpieczeniami w programie Safari 3.1.1

  • Ostatnia modyfikacja: 05 maj, 2008
  • Artykuł: HT1467

Podsumowanie

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w programie Safari 3.1.1, który można pobrać i zainstalować za pomocą preferencji Uaktualnienia oprogramowania lub z witryny plików do pobrania firmy Apple.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących bezpieczeństwa przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł „Jak używać klucza PGP serwisu Bezpieczeństwo produktów firmy Apple”.

Zawsze gdy jest to możliwe, w odniesieniu do luk używane są identyfikatory z katalogu CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł „Uaktualnienia zabezpieczeń firmy Apple”.

Dotyczy produktów

Bezpieczeństwo produktów, Safari 3.1, Safari 3 (Windows)

Safari 3.1.1

  • Safari
    Identyfikator CVE: CVE-2007-2398
    Dostępne dla systemów: Windows XP lub Vista
    Konsekwencje: złośliwie spreparowana witryna może kontrolować zawartość paska adresu
    Opis: Problem z synchronizacją w programie Safari 3.1 pozwala stronie www na zmianę zawartości paska adresu bez wczytywania zawartości odpowiedniej strony. Mogłoby to zostać użyte do podszycia się pod zawartość uczciwej witryny, co umożliwia przechwycenie danych uwierzytelnienia lub innych informacji użytkownika. Problem został rozwiązany w Safari Beta 3.0.2, ale powrócił w Safari 3.1. Uaktualnienie rozwiązuje problem przez przywrócenie zawartości paska adresu, jeśli żądanie nowej strony www jest przerwane. Ten problem nie występuje na komputerach z systemem Mac OS X.

     

  • Safari
    Identyfikator CVE: CVE-2008-1024
    Dostępne dla systemów: Windows XP lub Vista
    Konsekwencje: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania programu lub wykonania dowolnego kodu
    Opis: Przy pobieraniu plików w programie Safari występuje problem uszkodzenia zawartości pamięci. Skłaniając użytkownika do pobrania pliku ze złośliwie spreparowaną nazwą, osoba atakująca może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje problem przez poprawienie obsługi pobierania plików. Ten problem nie występuje na komputerach z systemem Mac OS X.

     

  • WebKit
    Identyfikator CVE: CVE-2008-1025
    Dostępne dla systemów: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.2, Mac OS X Server 10.5.2, Windows XP lub Vista
    Konsekwencje: odwiedzenie złośliwej witryny może spowodować atak typu cross-site scripting
    Opis: Problem występuje w oprogramowaniu WebKit przy obsłudze adresów URL zawierających dwukropek w nazwie hosta. Otwarcie złośliwie spreparowanego adresu URL może spowodować atak typu cross-site scripting. To uaktualnienie rozwiązuje problem przez poprawienie obsługi adresów URL. Podziękowania za zgłoszenie tego problemu dla Roberta Swieckiego z zespołu zabezpieczeń firmy Google i Davida Blooma.

     

  • WebKit
    Identyfikator CVE: CVE-2008-1026
    Dostępne dla systemów: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.2, Mac OS X Server 10.5.2, Windows XP lub Vista
    Konsekwencje: wyświetlenie złośliwie spreparowanej strony www może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu
    Opis: Przy obsłudze wyrażeń regularnych JavaScript w oprogramowaniu WebKit występuje przepełnienie buforu stosu. Problem może być wywoływany przez JavaScript przy przetwarzaniu wyrażeń regularnych zawierających wiele zagnieżdżonych zliczeń powtórzeń. Może to spowodować nieoczekiwanego zakończenie działania programu lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje problem przez dodatkowe sprawdzenie poprawności wyrażeń regularnych JavaScript. Podziękowania za zgłoszenie tego problemu dla Charliego Millera.

Important: Information about products not manufactured by Apple is provided for information purposes only and does not constitute Apple’s recommendation or endorsement. Please contact the vendor for additional information.