Tietoja Safari 3 Beta -päivityksestä 3.0.3

Tässä asiakirjassa kuvataan Safari 3 Beta -päivityksen 3.0.3 turvallisuussisältö. Päivitys voidaan ladata ja asentaa Ohjelmiston päivitykset -asetuksista tai Apple Downloads -sivulta.

Asiakkaiden suojelemiseksi Apple ei paljasta tai vahvista turvallisuusongelmia tai keskustele niistä ennen kuin ne on täysin tutkittu ja tarvittavat korjauspäivitykset ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuus -sivustolla.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on sivulla Kuinka käyttää Applen tuoteturvallisuuden PGP-avainta.

Aina kun se on mahdollista, CVE ID -tunnuksia käytetään viittaamaan haavoittuvuuksiin.

Lisätietoja turvallisuuspäivityksistä on sivulla Applen turvallisuuspäivitykset.
 

Safari 3 Beta -päivitys 3.0.3

• Safari

  CVE-ID: CVE-2007-3743

  Saatavilla seuraaviin ympäristöihin: Windows XP tai Vista

  Vaikutus: Kirjanmerkkien lisääminen voi johtaa sovelluksen odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suoritukseen.

  Kuvaus: Safarin kirjanmerkkien käsittelyssä on pinopuskurin ylivuodon haavoittuvuus. Houkuttelemalla käyttäjän lisäämään kirjanmerkin, jossa on ylipitkä otsikko, hyökkääjä saattaa laukaista ongelman, mikä voi aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorituksen. Tämä päivitys korjaa ongelman suorittamalla oikean rajojen tarkistuksen. Tämä ongelma ei koske Mac OS X -järjestelmiä.

• WebKit

  CVE-ID: CVE-2007-2408

  Saatavilla seuraaviin ympäristöihin: Mac OS X v10.4.9 tai uudemmat, Windows XP tai Vista

  Vaikutus: Vihamielisellä web-sivustolla käynti voi sallia Java-applettien latautumisen ja suorittumisen vaikka Java on pois käytöstä

  Kuvaus: Safarissa on asetus "Enable Java" (Ota Java käyttöön). Kun asetusta ei ole valittu, tämän tulisi estää Java-applettien latautuminen. Oletus on, että Java-applettien latautuminen sallitaan. Siirtyminen vihamieliselle web-sivulle voi sallia Java-appletin latautumisen ilman asetuksen tarkistamista. Tämä päivitys korjaa ongelman tarkemmalla "Enable Java" -asetuksen tarkistuksella. Kiitos Scott Wildelle tämän ongelman ilmoittamisesta.

• WebKit

  CVE-ID: CVE-2007-3742

  Saatavilla seuraaviin ympäristöihin: Mac OS X v10.4.9 tai uudemmat, Windows XP tai Vista

  Vaikutus: Samannäköisiä merkkejä URL:ssä voidaan käyttää naamioimaan web-sivusto

  Kuvaus: Safariin upotettuja International Domain Name (IDN) -tukea ja Unicode-fontteja voidaan käyttää luomaan URL, joka sisältää samannäköisiä merkkejä. Näitä voidaan käyttää vihamielisellä web-sivustolla ohjaamaan käyttäjä väärennetylle sivustolle, joka näyttää olevan laillinen toimialue. Tämä päivitys korjaa ongelman parannetulla toimialueen nimen validiteettitarkistuksella.

• WebKit

  CVE-ID: CVE-2007-3944

  Saatavilla seuraaviin ympäristöihin: Mac OS X v10.4.9 tai uudemmat, Windows XP tai Vista

  Vaikutus: Vihamielisen web-sivuston katsominen voi johtaa mielivaltaiseen koodin suoritukseen

  Kuvaus: Kekopuskurin ylivuoto Perl Compatible Regular Expressions (PCRE) -kirjastossa, jota JavaScript-komentosarjasuoritin käyttää Safarissa. Houkuttelemalla käyttäjän vihamieliselle web-sivulle, hyökkääjä voi laukaista ongelman, joka voi johtaa mielivaltaisen koodin suoritukseen. Tämä päivitys korjaa ongelman suorittamalla ylimääräisen JavaScriptin säännöllisten lausekkeiden tarkistuksen. Kiitos Charlie Millerille ja Jake Honoroffille, Independent Security Evaluators, näiden ongelmien ilmoittamisesta.