О степени безопасности Safari 3.1.2 для Windows

  • Дата изменения: 12 Ноябрь, 2008
  • Статья: HT2092

Обзор

В этом документе описывается обновление безопасности программы Safari 3.1.2 для Windows, которое можно загрузить и установить, выбрав «Обновление ПО» в настройках или посетив раздел «Загрузки» на веб-сайте компании Apple.

В целях защиты своих пользователей компания Apple не разглашает и не подтверждает информацию о проблемах безопасности, а также не участвует в их обсуждении, до тех пор пока не будет полностью завершено изучение проблемы и не будут выпущены все необходимые исправления и обновления. Дополнительную информацию об обеспечении безопасности продуктов Apple см. на веб-странице «Безопасность продуктов Apple».

Дополнительную информацию об обеспечении безопасности продуктов Apple с помощью ключа PGP см. в статье «Использование PGP-ключа для защиты продуктов Apple».

Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Информацию о других обновлениях системы безопасности можно найти в статье «Обновление системы безопасности Apple».

Продукты, у которых возникает эта проблема

Безопасность продукта, Safari 3 (Windows)

Safari 3.1.2 для Windows

  • Safari

    Идентификатор CVE: CVE-2008-1573

    Подвержены уязвимости: Windows XP и Windows Vista

    Уязвимость. Просмотр созданного со злым умыслом изображения в формате BMP или GIF может привести к разглашению сведений.

    Описание. В процессе обработки изображений BMP и GIF возможно считывание данных из закрытой области памяти, что может привести к разглашению содержимого памяти. Это обновление устраняет описанную проблему посредством выполнения дополнительной проверки изображений BMP и GIF. Данная проблема распространяется на системы Mac OS X 10.5.3 и системы Mac OS X 10.4.11 с обновлением безопасности 2008-003. Благодарим Гинвила Колдвинда из компании Hispasec за сообщение об этой проблеме.

  • Safari

    Идентификатор CVE: CVE-2008-2540.

    Подвержены уязвимости: Windows XP и Windows Vista

    Уязвимость. Сохранение сомнительных файлов на Рабочем столе Windows может привести к выполнению произвольного кода.

    Описание. Существует проблема в методе обработки исполняемых файлов Рабочим столом Windows. Сохранение сомнительных файлов на Рабочем столе Windows может инициировать эту проблему и привести к выполнению произвольного кода. Зачастую проблема возникает из-за того, что файлы сохраняются на Рабочий стол веб-браузерами. Для решения данной проблемы был выпущено обновление браузера Safari. Теперь перед сохранением загруженного файла браузер отправляет пользователю соответствующий запрос. Кроме того, папка для загружаемых файлов по умолчанию была изменена на пользовательскую папку Downloads в ОС Windows Vista и на пользовательскую папку Documents в ОС Windows XP. Данная проблема не распространяется на системы Mac OS X. Дополнительную информацию об этой проблеме можно получить на веб-странице http://www.microsoft.com/technet/security/advisory/953818.mspx. Благодарим Авива Раффа за сообщение об этой проблеме.

  • Safari

    Идентификатор CVE: CVE-2008-2306.

    Подвержены уязвимости: Windows XP и Windows Vista

    Уязвимость. Посещение вредоносного веб-сайта, который был добавлен в зону надежных узлов Internet Explorer, может привести к автоматическому выполнению произвольного кода

    Описание. Если веб-сайт будет добавлен в зону браузера Internet Explorer 7, для которой параметр «Запуск программ и небезопасных файлов» установлен в значение «Разрешить», или в зону «Надежные узлы» или «Местная интрасеть» в Internet Explorer 6, Safari будет автоматически запускать исполняемые файлы, загруженные с этого веб-сайта. Это обновление решает описанную проблему за счет запрета на автоматический запуск загруженных исполняемых файлов и выдачи пользователю соответствующего запроса перед загрузкой файла в случае, если выбран параметр «Всегда спрашивать». Данная проблема не распространяется на системы Mac OS X. Благодарим Вилла Дорманна из CERT/CC за сообщение об этой проблеме.Выражаем свою признательность центру обеспечения безопасностикорпорации Майкрософт (MSRC) за содействие в поиске решения этой проблемы.

  • Компонент WebKit

    Идентификатор CVE: CVE-2008-2307

    Подвержены уязвимости: Windows XP и Windows Vista

    Уязвимость. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы приложения или выполнению произвольного кода

    Описание. В способе обработки компонентом Webkit массивов JavaScript существует уязвимость, приводящая к повреждению памяти. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Это обновление устраняет описанную проблему, улучшая способ проверки границ. Благодарим Джеймса Уркварта за сообщение об этой проблеме.

Important: Mention of third-party websites and products is for informational purposes only and constitutes neither an endorsement nor a recommendation. Apple assumes no responsibility with regard to the selection, performance or use of information or products found at third-party websites. Apple provides this only as a convenience to our users. Apple has not tested the information found on these sites and makes no representations regarding its accuracy or reliability. There are risks inherent in the use of any information or products found on the Internet, and Apple assumes no responsibility in this regard. Please understand that a third-party site is independent from Apple and that Apple has no control over the content on that website. Please contact the vendor for additional information.