Zawartość związana z zabezpieczeniami w przeglądarkach Safari 5.0.1 i Safari 4.1.1

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w przeglądarkach Safari 5.0.1 i Safari 4.1.1.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń Apple.

Safari 5.0.1 i Safari 4.1.1

  • Safari

    • Identyfikator CVE: CVE-2010-1778

    • Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych wersji, Mac OS X Server 10.6.2 lub nowszych wersji, Windows 7, Vista, XP SP2 lub nowszych wersji

    • Zagrożenie: otwieranie złośliwie spreparowanych stron RSS może spowodować wysyłanie plików z systemu użytkownika na zdalny serwer

    • Opis: w obsłudze stron RSS przez aplikację Safari występuje błąd związany z „cross-site scripting”. Otwieranie złośliwie spreparowanych stron RSS może spowodować wysyłanie plików z systemu użytkownika na zdalny serwer. Błąd ten rozwiązano przez udoskonalenie procedury obsługi stron RSS. Problem ten zgłosił Billy Rios z Google Security Team.

  • Safari

    • Identyfikator CVE: CVE-2010-1796

    • Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych wersji, Mac OS X Server 10.6.2 lub nowszych wersji, Windows 7, Vista, XP SP2 lub nowszych wersji

    • Zagrożenie: funkcja Wypełnianie w aplikacji Safari może ujawniać informacje stronom internetowym bez interakcji użytkownika

    • Opis: funkcja Wypełnianie w aplikacji Safari może automatycznie wypełniać formularze internetowe przy użyciu wyznaczonych informacji w książce adresowej Mac OS X, Outlook lub Windows. Zgodnie z założeniem do działania funkcji Wypełnianie w formularzu internetowym wymagane jest działanie użytkownika. Istnieje jednak błąd w sposobie implementacji, który umożliwia złośliwie spreparowanej stronie internetowej uruchamianie funkcji Wypełnianie bez interakcji użytkownika. Może to skutkować ujawnieniem informacji zawartych na karcie książki adresowej użytkownika. Aby wywołać błąd, wymagane jest spełnienie dwóch poniższych warunków. Po pierwsze w menu Preferencje aplikacji Safari pole wyboru „Wypełnianie formularzy internetowych przy użyciu mojej karty książki adresowej” musi być zaznaczone. Po drugie w książce adresowej użytkownika musi znajdować się karta oznaczona jako „Moja wizytówka”. Wyłącznie informacje z tej konkretnej karty są dostępne za pośrednictwem funkcji Wypełnianie. Problem ten został rozwiązany poprzez uniemożliwienie funkcji Wypełnianie korzystania z informacji bez działania użytkownika. Nie dotyczy to urządzeń z systemem iOS. Problem zgłosił Jeremiah Grossman z firmy WhiteHat Security.

  • WebKit

    • Identyfikator CVE: CVE-2010-1780

    • Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych wersji, Mac OS X Server 10.6.2 lub nowszych wersji, Windows 7, Vista, XP SP2 lub nowszych wersji

    • Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    • Opis: w procedurze obsługi skupienia elementów przez oprogramowanie WebKit występuje błąd użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem rozwiązano przez poprawienie procedury obsługi skupienia elementów. Problem zgłosił Tony Chang z firmy Google Inc.

  • WebKit

    • Identyfikator CVE: CVE-2010-1782

    • Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych wersji, Mac OS X Server 10.6.2 lub nowszych wersji, Windows 7, Vista, XP SP2 lub nowszych wersji

    • Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    • Opis: w procedurach renderowania elementów inline przez oprogramowanie WebKit występuje błąd mogący spowodować uszkodzenie zawartości pamięci. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Rozwiązanie tego problemu polega na poprawieniu mechanizmu sprawdzania ograniczeń. Problem zgłosił użytkownik wushi z team509.

  • WebKit

    • Identyfikator CVE: CVE-2010-1783

    • Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych wersji, Mac OS X Server 10.6.2 lub nowszych wersji, Windows 7, Vista, XP SP2 lub nowszych wersji

    • Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    • Opis: w procedurze obsługi dynamicznych modyfikacji węzłów tekstowych przez oprogramowanie WebKit występuje błąd związany z uszkodzeniem pamięci. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten błąd naprawiono przez poprawienie procedur zarządzania pamięcią.

  • WebKit

    • Identyfikator CVE: CVE-2010-1784

    • Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych wersji, Mac OS X Server 10.6.2 lub nowszych wersji, Windows 7, Vista, XP SP2 lub nowszych wersji

    • Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    • Opis: w procedurze obsługi liczników CSS przez oprogramowanie WebKit występuje problem związany z uszkodzeniem pamięci. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten błąd naprawiono przez poprawienie procedur zarządzania pamięcią. Problem zgłosił wushi z team509 w ramach programu Zero Day Initiative firmy TippingPoint.

  • WebKit

    • Identyfikator CVE: CVE-2010-1785

    • Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych wersji, Mac OS X Server 10.6.2 lub nowszych wersji, Windows 7, Vista, XP SP2 lub nowszych wersji

    • Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    • Opis: w procedurze obsługi pseudo-elementów :first-letter i :first-line w elementach tekstowych SVG przez oprogramowanie WebKit występuje problem z niezainicjowanym dostępem do pamięci. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Problem ten został rozwiązany poprzez nierenderowanie pseudo-elementów :first-letter lub :first-line w elementach tekstowych SVG. Problem zgłosił wushi z team509 w ramach programu Zero Day Initiative firmy TippingPoint.

  • WebKit

    • Identyfikator CVE: CVE-2010-1786

    • Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych wersji, Mac OS X Server 10.6.2 lub nowszych wersji, Windows 7, Vista, XP SP2 lub nowszych wersji

    • Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    • Opis: w procedurze obsługi elementów foreignObject w dokumentach SVG przez oprogramowanie WebKit występuje błąd użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Błąd ten został rozwiązany poprzez dodatkową walidację dokumentów SVG. Problem zgłosił wushi z team509 w ramach programu Zero Day Initiative firmy TippingPoint.

  • WebKit

    • Identyfikator CVE: CVE-2010-1787

    • Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych wersji, Mac OS X Server 10.6.2 lub nowszych wersji, Windows 7, Vista, XP SP2 lub nowszych wersji

    • Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    • Opis: w procedurze obsługi zmiennoprzecinkowych elementów w dokumentach SVG przez oprogramowanie WebKit występuje problem związany z uszkodzeniem pamięci. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten błąd naprawiono przez poprawienie procedur zarządzania pamięcią. Problem zgłosił wushi z team509 w ramach programu Zero Day Initiative firmy TippingPoint.

  • WebKit

    • Identyfikator CVE: CVE-2010-1788

    • Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych wersji, Mac OS X Server 10.6.2 lub nowszych wersji, Windows 7, Vista, XP SP2 lub nowszych wersji

    • Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    • Opis: w procedurze obsługi elementów „use” w dokumentach SVG przez oprogramowanie WebKit występuje problem związany z uszkodzeniem pamięci. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Problem ten został rozwiązany poprzez udoskonaloną obsługę elementów „use” w dokumentach SVG. Problem zgłosił Justin Schuh z firmy Google Inc.

  • WebKit

    • Identyfikator CVE: CVE-2010-1789

    • Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych wersji, Mac OS X Server 10.6.2 lub nowszych wersji, Windows 7, Vista, XP SP2 lub nowszych wersji

    • Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    • Opis: w procedurze obsługi obiektów string JavaScript przez oprogramowanie WebKit występuje błąd przepełnienia bufora sterty. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Rozwiązanie tego problemu polega na poprawieniu mechanizmu sprawdzania ograniczeń. Problem wykryła firma Apple.

  • WebKit

    • Identyfikator CVE: CVE-2010-1790

    • Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych wersji, Mac OS X Server 10.6.2 lub nowszych wersji, Windows 7, Vista, XP SP2 lub nowszych wersji

    • Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    • Opis: w procedurze obsługi kompilacji just-in-time obiektów stub w JavaScript przez oprogramowanie WebKit występuje problem związany z wielobieżnością. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Problem ten naprawiono przez udoskonalenie procedury synchronizacji.

  • WebKit

    • Identyfikator CVE: CVE-2010-1791

    • Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych wersji, Mac OS X Server 10.6.2 lub nowszych wersji, Windows 7, Vista, XP SP2 lub nowszych wersji

    • Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    • Opis: w procedurze obsługi tablic JavaScript przez oprogramowanie WebKit występuje błąd znakowości zmiennych. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Błąd ten rozwiązano przez udoskonalenie obsługi indeksów tablicy JavaScript. Problem zgłosiła Natalie Silvanovich.

  • WebKit

    • Identyfikator CVE: CVE-2010-1792

    • Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych wersji, Mac OS X Server 10.6.2 lub nowszych wersji, Windows 7, Vista, XP SP2 lub nowszych wersji

    • Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    • Opis: w procedurze obsługi wyrażeń regularnych przez oprogramowanie WebKit występuje problem związany z uszkodzeniem pamięci. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Problem ten rozwiązano przez udoskonalenie procedury obsługi wyrażeń regularnych. Problem zgłosił Peter Varga z Uniwersytetu w Segedynie.

  • WebKit

    • Identyfikator CVE: CVE-2010-1793

    • Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych wersji, Mac OS X Server 10.6.2 lub nowszych wersji, Windows 7, Vista, XP SP2 lub nowszych wersji

    • Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    • Opis: w procedurze obsługi elementów „font-face” i „use” w dokumentach SVG przez oprogramowanie WebKit występuje błąd użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Błąd ten rozwiązano przez udoskonalenie procedury obsługi elementów „font-face” i „use” w dokumentach SVG. Problem zgłosił Aki Helin z OUSPG.

Ważne: wzmianka o witrynach internetowych i produktach osób trzecich ma charakter wyłącznie informacyjny i nie stanowi rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności w związku z wyborem, działaniem lub korzystaniem z informacji lub produktów znalezionych w witrynach internetowych osób trzecich. Apple podaje je tylko jako udogodnienie dla naszych użytkowników. Firma Apple nie przetestowała informacji znalezionych w tych witrynach i nie składa żadnych oświadczeń dotyczących ich dokładności lub wiarygodności. Korzystanie z jakichkolwiek informacji lub produktów znalezionych w Internecie wiąże się z ryzykiem, a Apple nie ponosi żadnej odpowiedzialności w tym zakresie. Należy pamiętać, że witryna osoby trzeciej jest niezależna od Apple i że Apple nie ma kontroli nad zawartością tej witryny. Dodatkowe informacje można uzyskać, kontaktując się z dostawcą.

Data publikacji: