О компонентах обеспечения безопасности в Safari 3.1.1

  • Дата изменения: 05 Май, 2008
  • Статья: HT1467

Обзор

В этом документе описаны компоненты обеспечения безопасности программы Safari 3.1.1, которые можно загрузить и установить через пункт Обновление программ в настройках или на сайте в разделе Apple Downloads («Загрузить продукты Apple»).

В целях защиты своих пользователей компания Apple не разглашает и не подтверждает информацию о проблемах безопасности, а также не участвует в ее обсуждении, до тех пор пока не будет полностью завершено изучение проблемы и не будут выпущены все необходимые обновления и выпуски. Дополнительную информацию об обеспечении безопасности продуктов Apple см. на веб-странице Безопасность продуктов Apple.

Дополнительную информацию об обеспечении безопасности продуктов Apple с помощью ключа PGP см. в статье How to use the Apple Product Security PGP Key («Использование PGP-ключа для защиты продуктов Apple»).

Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Дополнительную информацию о других обновлениях системы безопасности см. в статье Apple Security Updates («Обновления системы безопасности Apple»).

Продукты, у которых возникает эта проблема

Безопасность продукта, Safari 3.1, Safari 3 (Windows)

Safari 3.1.1

  • Safari
    Идентификатор CVE: CVE-2007-2398
    Подвержены уязвимости: Windows XP и Windows Vista
    Воздействие. Вредоносный веб-сайт может изменять содержимое адресной строки
    Описание. Из-за проблемы синхронизации в Safari 3.1 веб-страница может заменить содержимое адресной строки без загрузки соответствующей страницы. Злоумышленники могут этим воспользоваться для подмены содержимого надежного веб-сайта с целью получить учетные данные пользователя или другие сведения. Эта проблема была решена в бета-версии Safari 3.0.2, но была вновь обнаружена в Safari 3.1. Данное обновление устраняет проблему путем восстановления содержимого адресной строки, если запрос на открытие новой веб-страницы был отменен. Эта проблема не распространяется на операционные системы Mac OS X.

     

  • Safari
    Идентификатор CVE: CVE-2008-1024
    Подвержены уязвимости: Windows XP и Windows Vista
    Воздействие. Посещение вредоносного веб-сайте может привести к неожиданному завершению работы приложения или выполнению произвольного кода
    Описание. При загрузке файле в Safari возможно повреждение памяти. Убедив пользователя загрузить файл с вредоносным именем, злоумышленник может вызвать неожиданное завершение работы приложения или выполнение произвольного кода. Это обновление решает проблему, исправляя процесс загрузки файлов. Эта проблема не распространяется на операционные системы Mac OS X.

     

  • WebKit
    Идентификатор CVE: CVE-2008-1025
    Подвержены уязвимости: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.2, Mac OS X Server 10.5.2, Windows XP и Windows Vista
    Воздействие. Посещение вредоносного веб-сайта может привести к выполнению межузлового сценария
    Описание. Среда WebKit неправильно обрабатывает URL-адреса, содержащие двоеточие в имени узла. Переход по вредоносному URL-адресу может привести к атаке через межузловой сценарий. Это обновление решает проблему, исправляя метод обработки URL-адресов. Благодарим Роберта Свецьки (Robert Swiecki) из группы информационной безопасности Google и Дэвида Блума (David Bloom) за сообщение об этой проблеме.

     

  • WebKit
    Идентификатор CVE: CVE-2008-1026
    Подвержены уязвимости: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.2, Mac OS X Server 10.5.2, Windows XP и Windows Vista
    Воздействие. Просмотр вредоносной веб-страницы может привести к неожиданному завершению работы программы или выполнению произвольного кода
    Описание. При обработке регулярных выражений JavaScript в среде WebKit происходит переполнение буфера кучи. Проблему может вызывать JavaScript при обработке регулярных выражений с большим числом вложенных повторений. Это может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Это обновление устраняет проблему, выполняя дополнительную проверку регулярных выражений JavaScript. Благодарим Чарли Миллера (Charlie Miller) за сообщение об этих проблемах.

Important: Information about products not manufactured by Apple is provided for information purposes only and does not constitute Apple’s recommendation or endorsement. Please contact the vendor for additional information.