Сведения о проблемах системы безопасности, устраняемых обновлением Safari 3.2

В этом документе описаны проблемы системы безопасности, устраненные в Safari 3.2.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает и не участвует в ее обсуждении, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Если возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

Safari 3.2

  • Safari

    Идентификатор CVE: CVE-2005-2096

    Целевые продукты: Windows XP или Vista

    Воздействие. Множество уязвимостей в zlib 1.2.2

    Описание. В zlib 1.2.2 существует множество уязвимостей, наиболее серьезная из которых может привести к отказу в обслуживании. В этом обновлении устранено проблемы путем обновления до zlib 1.2.3. Эти проблемы не затрагивают системы Mac OS X. Благодарим Robbie Joosten из bioinformatics@school и David Gunnells из Университет Алабамы в Бирмингеме за сообщение об этим проблемах.

  • Safari

    Идентификатор CVE: CVE-2008-1767

    Целевые продукты: Windows XP или Vista

    Воздействие. Обработка XML-документа может привести к неожиданному завершению работы приложения или выполнению произвольного кода

    Описание. В библиотеке libxslt существует проблема переполнения буфера динамической памяти. Просмотр вредоносной HTML-страницы может приводить к непредвиденному прекращению работы программы или выполнению произвольного кода. Дополнительные сведения о примененном исправлении см. на веб-сайте http://xmlsoft.org/XSLT/ Эта проблема не затрагивает системы Mac OS X, в которых установлено обновление системы безопасности 2008-007. Благодарим Anthony de Almeida Lopes из Outpost24 AB из Chris Evans из подразделения Google Security Team за сообщение об этой проблеме.

  • Safari

    Идентификатор CVE: CVE-2008-3623

    Целевые продукты: Windows XP или Vista

    Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы приложения или выполнению произвольного кода

    Описание. При обработке цветовых пространств в CoreGraphics существует переполнение буфера динамической памяти. Просмотр вредоносного изображения может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Данное обновление устраняет проблему посредством улучшения проверки границ. Выражаем благодарность компании Apple.

  • Safari

    Идентификатор CVE: CVE-2008-2327

    Целевые продукты: Windows XP или Vista

    Воздействие. Просмотр вредоносного изображения TIFF может привести к неожиданному завершению работы приложения или выполнению произвольного кода

    Описание. При обработке libTIFF изображений TIFF в кодировке LZW существует множество проблем с доступом к неинициализированной памяти. Просмотр вредоносного изображения TIFF может привести к неожиданному завершению работы приложения или выполнению произвольного кода. В этом обновлении устранено проблему посредством правильной инициализации памяти и дополнительной проверки изображений TIFF. Эта проблема решена в системах под управлением Mac OS X 10.5.5 или более поздней версии, а также в системах Mac OS X 10.4.11, в которых применено обновление системы безопасности 2008-006. Выражаем благодарность компании Apple.

  • Safari

    Идентификатор CVE: CVE-2008-2332

    Целевые продукты: Windows XP или Vista

    Воздействие. Просмотр вредоносного изображения TIFF может привести к неожиданному завершению работы приложения или выполнению произвольного кода

    Описание. При обработке ImageIO изображений TIFF существует проблема повреждения памяти. Просмотр вредоносного изображения TIFF может привести к неожиданному завершению работы приложения или выполнению произвольного кода. В этом обновлении устранено проблему за счет улучшенной обработки изображений TIFF. Эта проблема решена в системах под управлением Mac OS X 10.5.5 или более поздней версии, а также в системах Mac OS X 10.4.11, в которых применено обновление системы безопасности 2008-006. Благодарим Robert Swiecki из подразделения Google Security Team за сообщение об этой проблеме.

  • Safari

    Идентификатор CVE: CVE-2008-3608

    Целевые продукты: Windows XP или Vista

    Воздействие. Просмотр большого вредоносного файла изображения в формате JPEG может привести к неожиданному завершению работы приложения или выполнению произвольного кода

    Описание. При обработке ImageIO встроенных профилей ICC в изображениях JPEG существует проблема повреждения памяти. Просмотр большого вредоносного файла изображения в формате JPEG может привести к неожиданному завершению работы приложения или выполнению произвольного кода. В этом обновлении устранено проблему за счет улучшенной обработки профилей ICC. Эта проблема решена в системах под управлением Mac OS X 10.5.5 или более поздней версии, а также в системах Mac OS X 10.4.11, в которых применено обновление системы безопасности 2008-006. Выражаем благодарность компании Apple.

  • Safari

    Идентификатор CVE: CVE-2008-3642

    Целевые продукты: Windows XP или Vista

    Воздействие. Просмотр вредоносного изображения может привести к неожиданному завершению работы приложения или выполнению произвольного кода

    Описание. При обработке изображений со встроенным профилем ICC существует переполнение буфера. Открытие вредоносного изображения со встроенным профилем ICC может привести к неожиданному завершению работы программы или выполнению произвольного кода. В этом обновлении проблема устранена за счет выполнения дополнительной проверки профилей ICC в изображениях. Эта проблема не затрагивает системы под управлением Mac OS X с установленным обновлением системы безопасности 2008-007. Выражаем благодарность компании Apple.

  • Safari

    Идентификатор CVE: CVE-2008-3644

    Целевые продукти: Mac OS X 10.4.11, Mac OS X 10.5.5, Windows XP или Vista

    Воздействие. Конфиденциальная информация может быть раскрыта пользователю локальной консоли

    Описание. Отключение автозаполнения в поле формы может не помешать сохранению данных в поле в кеше страницы браузера. Это может привести к раскрытию конфиденциальной информации локальному пользователю. В этом обновлении устранено проблему путем правильного очищения данных формы. Благодарим анонимного исследователя за сообщение об этой проблеме.

  • WebKit

    Идентификатор CVE: CVE-2008-2303

    Целевые продукты: Mac OS X 10.4.11, Mac OS X 10.5.5, Windows XP или Vista

    Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы приложения или выполнению произвольного кода

    Описание. Проблема, связанная со знаковыми числами, при обработке индексов массива JavaScript в Safari может вызывать обращение к памяти за пределами области динамической памяти. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Данное обновление устраняет проблему посредством дополнительной проверки индексов массива JavaScript. Благодарим пользователя SkyLined из Google за сообщение об этой проблеме.

  • WebKit

    Идентификатор CVE: CVE-2008-2317

    Целевые продукты: Mac OS X 10.4.11, Mac OS X 10.5.5, Windows XP или Vista

    Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы приложения или выполнению произвольного кода

    Описание. При обработке элементов таблицы стилей в WebCore существует проблема повреждения памяти. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Данное обновление устраняет проблему посредством улучшенной сборки мусора. Благодарим за сообщение об этой проблеме анонимного исследователя, сотрудничающего с компанией TippingPoint в рамках программы Zero Day Initiative.

  • WebKit

    Идентификатор CVE: CVE-2008-4216

    Целевые продукты: Mac OS X 10.4.11, Mac OS X 10.5.5, Windows XP или Vista

    Воздействие. Посещение вредоносного веб-сайта может привести к раскрытию конфиденциальной информации

    Описание. Интерфейс плагина WebKit не блокирует плагинам запуск локальных URL-адресов. Посещение вредоносного веб-сайта может позволить удаленному злоумышленнику запустить локальные файлы в Safari, что может привести к раскрытию конфиденциальной информации. В этом обновлении устранено проблему путем ограничения типов URL-адресов, которые могут быть запущены через интерфейс плагина. Благодарим Billy Rios из Microsoft и Nitesh Dhanjani из Ernst & Young за сообщение об этой проблеме.

Важно! Сторонние веб-сайты и продукты указаны исключительно в информационных целях. Их упоминание не следует рассматривать в качестве рекламы или рекомендации. Компания Apple не несет никакой ответственности за выбор, функциональность и использование информации или продуктов, представленных на сторонних веб-сайтах. Apple предоставляет эти сведения только для удобства своих пользователей. Компания Apple не проверяла сведения, размещенные на этих сайтах, и не делает никаких заявлений относительно их точности или надежности. Использование любых сведений или продуктов, представленных в Интернете, сопряжено с риском, и Apple не принимает на себя ответственности в этом отношении. Помните о том, что сторонние сайты не зависят от Apple и компания Apple не контролирует их содержимое. Свяжитесь с продавцом для получения дополнительной информации.

Дата публикации: