نبذة عن محتوى أمان سفاري 4.0.4
يتناول هذا المستند محتوى أمان المتصفح سفاري 4.0.4.
لحماية عملائنا، لا تفصح Apple عن مشاكل الأمان أو تناقشها أو تؤكدها لحين إجراء استقصاء كامل، مع توفّر أي برامج تصحيح أو إصدارات ضرورية. للتعرّف على المزيد حول أمان منتجات Apple، تفضل بزيارة موقع أمان منتجات Apple.
للحصول على معلومات حول مفتاح PGP لأمان منتجات Apple، راجع "كيفية استخدام مفتاح PGP لأمان منتجات Apple."
إن أمكن، يتم استخدام معرفات CVE للإشارة إلى الثغرات لمعرفة المزيد من المعلومات.
للتعرّف على تحديثات الأمان الأخرى، راجع "تحديثات أمان Apple."
سفاري 4.0.4
ColorSync
CVE-ID: CVE-2009-2804
متوفر لما يلي: Windows 7 و Vista وXP
التأثير: قد يؤدي عرض صورة تم إنشاؤها بشكل متطفل مع ملف تعريف مزامنة الألوان مضمن إلى تطبيق غير متوقع الإنهاء أو التنفيذ العشوائي للتعليمات البرمجية
الوصف: يوجد تجاوز لعدد صحيح في معالجة الصور باستخدام ملف تعريف الألوان المضمن، مما قد يؤدي إلى تجاوز سعة المخزن المؤقت للمكدس. قد يؤدي فتح صورة تم إنشاؤها بشكل متطفل باستخدام ملف تعريف الألوان المضمن إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. تمت معالجة المشكلة عن طريق إجراء التحقق الإضافي من ملفات تعريف الألوان. لا تؤثر هذه المشكلة على أنظمة Mac OS X الإصدار 10.6. تمت معالجة المشكلة بالفعل في تحديث الأمان 2009-005 لأنظمة Mac OS X 10.5.8. يعود الفضل إلى: Apple.
libxml
CVE-ID: CVE-2009-2414, CVE-2009-2416
متوفر لما يلي: Mac OS X v10.4.11 وMac OS X Server v10.4.11 وWindows 7 وVista وXP
Iالتأثير: قد يؤدي تحليل محتوى XML الذي تم إنشاؤه بشكل متطفل إلى إنهاء غير متوقع للتطبيق
الوصف: وجدت عدة مشاكل تتعلق بالاستخدام بعد التحرير في libxml2، قد تؤدي أكثرها ضررًا إلى إنهاء غير متوقع للتطبيق. يعالج هذا التحديث المشكلات من خلال معالجة الذاكرة المحسنة. تمت معالجة المشكلات بالفعل في نظام التشغيل Mac OS X 10.6.2 وفي تحديث الأمان 2009-006 لأنظمة Mac OS X 10.5.8.
Safari
CVE-ID: CVE-2009-2842
متوفر لما يلي: Mac OS X v10.4.11 وMac OS X Server v10.4.11 وMac OS X v10.5.8 وMac OS X Server v10.5.8 وMac OS X v10.6.1 وv10.6.2 وMac OS X Server v10.6.1 وv10.6.2 وWindows 7 وVista وXP
التأثير: قد يؤدي استخدام خيارات قائمة الاختصارات داخل موقع ويب متطفل إلى الكشف عن معلومات محلية
الوصف: توجد مشكلة في معالجة سفاري للتنقلات التي تبدأ عبر خيارات قائمة الاختصارات "فتح الصورة في علامة تبويب جديدة" أو "فتح الصورة في نافذة جديدة" أو "فتح الرابط في علامة تبويب جديدة". قد يؤدي استخدام هذه الخيارات داخل موقع ويب متطفل إلى تحميل ملف HTML محلي، مما يؤدي إلى الكشف عن معلومات حساسة. تمت معالجة المشكلة عن طريق تعطيل خيارات قائمة الاختصارات المدرجة عندما يكون هدف الرابط ملفًا محليًا.
WebKit
CVE-ID: CVE-2009-2816
متوفر لما يلي: Mac OS X v10.4.11 وMac OS X Server v10.4.11 وMac OS X v10.5.8 وMac OS X Server v10.5.8 وMac OS X v10.6.1 وv10.6.2 وMac OS X Server v10.6.1 وv10.6.2 وWindows 7 وVista وXP
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى اتخاذ إجراءات غير متوقعة على مواقع الويب الأخرى
الوصف: توجد مشكلة في تنفيذ WebKit لمشاركة الموارد عبر المصادر. قبل السماح لصفحة من مصدر واحد بالوصول إلى مورد في مصدر آخر، يرسل WebKit طلب اختبار مبدئي إلى الخادم الأخير للوصول إلى المورد. يتضمن WebKit عناوين HTTP مخصصة تحددها الصفحة التي تقوم بتقديم طلب في طلب الاختبار المبدئي. وهذا يمكن أن يسهل تزوير الطلب عبر المواقع. تمت معالجة هذه المشكلة عن طريق إزالة عناوين HTTP المخصصة من طلبات الاختبار المبدئي. يعود الفضل إلى: Apple.
WebKit
CVE-ID: CVE-2009-3384
متوفر لما يلي: Windows 7 وVista وXP
التأثير: قد يؤدي الوصول إلى خادم FTP متطفل إلى إنهاء غير متوقع للتطبيق، أو الكشف عن المعلومات، أو تنفيذ تعليمات برمجية عشوائية
الوصف: توجد ثغرات أمنية متعددة في معالجة WebKit لقوائم دليل FTP. قد يؤدي الوصول إلى خادم FTP متطفل إلى الكشف عن المعلومات أو الإنهاء غير المتوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. يعالج هذا التحديث المشكلات من خلال التحليل المحسّن لقوائم دليل FTP. لا تؤثر هذه المشكلات في سفاري على أنظمة Mac OS X. يعود الفضل إلى Michal Zalewski من شركة Google Inc. للإبلاغ عن هذه المشكلات.
WebKit
CVE-ID: CVE-2009-2841
متوفر لما يلي: Mac OS X v10.4.11 وMac OS X Server v10.4.11 وMac OS X v10.5.8 وMac OS X Server v10.5.8 وMac OS X v10.6.1 وv10.6.2 وMac OS X Server v10.6.1 وv10.6.2
التأثير: قد يقوم البريد بتحميل محتوى الصوت والفيديو عن بعد عند تعطيل تحميل الصور عن بعد
الوصف: عندما يواجه WebKit عنصر وسائط HTML 5 يشير إلى مورد خارجي، فإنه لا يصدر عملية معاودة اتصال تتعلق بتحميل المورد لتحديد ما إذا كان يجب تحميل المورد. قد يؤدي هذا إلى طلبات غير مرغوب فيها للخوادم البعيدة. على سبيل المثال، يمكن لمرسل رسالة بريد إلكتروني بتنسيق HTML استخدام هذا لتحديد أن الرسالة قد تمت قراءتها. تمت معالجة هذه المشكلة عن طريق إنشاء عمليات معاودة الاتصال لتحميل الموارد عندما يواجه WebKit عنصر وسائط HTML 5. لا تؤثر هذه المشكلات في سفاري على أنظمة Windows.
مهم: يتم تقديم معلومات عن المنتجات غير المصنّعة بواسطة Apple لأغراض الاطلاع فقط، ولا تعتبر توصية من جانب Apple أو موافقة عليها. يُرجى الاتصال بالبائع للحصول على معلومات إضافية.