نبذة عن محتوى أمان سفاري 4.0
يتناول هذا المستند محتوى أمان سفاري 4.0.
لحماية عملائنا، لا تفصح Apple عن مشاكل الأمان أو تناقشها أو تؤكدها لحين إجراء استقصاء كامل، مع توفّر أي برامج تصحيح أو إصدارات ضرورية. للتعرّف على المزيد حول أمان منتجات Apple، تفضل بزيارة موقع أمان منتجات Apple.
للحصول على معلومات حول مفتاح PGP لأمان منتجات Apple، راجع "كيفية استخدام مفتاح PGP لأمان منتجات Apple."
إن أمكن، يتم استخدام معرفات CVE للإشارة إلى الثغرات لمعرفة المزيد من المعلومات.
للتعرّف على تحديثات الأمان الأخرى، راجع "تحديثات أمان Apple."
سفاري 4.0
CFNetwork
CVE-ID: CVE-2009-1704
متوفر لما يلي: Mac OS X v10.4.11 أو Mac OS X Server v10.4.11 أو Mac OS X v10.5.7 أو Mac OS X Server v10.5.7 أو Windows XP أو Vista
التأثير: ملفات الصور التي تم تنزيلها قد يتم تعريفها بشكل خاطئ على أنها HTML، مما يؤدي إلى تنفيذ JavaScript بدون تحذير المستخدم
الوصف: ملفات الصور هي أنواع بتصنيف 'safe'، وبمجرد تنزيلها، يتم عرضها بواسطة سفاري بدون تحذير المستخدم. قد تؤدي مشكلة في سفاري إلى عدم قدرته على تحديد نوع الملف لبعض ملفات الصور المحلية. في هذه الحالة، سوف يفحص سفاري محتوى تلك الملفات وقد يتعامل معها على أنها HTML. إذا كان الملف يحتوي على JavaScript، فسيتم تنفيذه في السياق المحلي. بالنسبة للملف الذي تم تنزيله، لا ينبغي أن يحدث هذا بدون مطالبة المستخدم أولًا. تتم معالجة هذه المشكلة من خلال التعامل مع الملفات ذات النوع غير المعروف كبيانات ثنائية عامة، ومن خلال التحديد بشكل صحيح لأنواع ملفات الصور المعروفة بوجود هذه المشكلة. يرجع الفضل إلى Sergio 'shadown' Alvarez من Recurity Labs GmbH للإبلاغ عن هذه المشكلة.
CFNetwork
CVE-ID: CVE-2009-1716
متوفر لما يلي: Windows XP أو Vista
التأثير: قد يتمكن المستخدم المحلي من قراءة محتويات الملفات التي يتم تنزيلها بواسطة مستخدمين آخرين
الوصف: ينشئ CFNetwork ملفات مؤقتة بشكل غير آمن عند التنزيل. قد يتمكن مستخدم محلي من الوصول إلى ملفات مستخدم آخر أثناء تنزيلها، مما يؤدي إلى الكشف عن معلومات حساسة. يعالج هذا التحديث المشكلة عن طريق تنزيل الملفات إلى موقع الدليل المؤقت الآمن الخاص بالمستخدم. بالنسبة لأنظمة Mac OS X، تتم معالجة هذه المشكلة في Mac OS X v10.5.6. يرجع الفضل إلى Billy Rios وفريق Microsoft Vulnerability Research للإبلاغ عن هذه المشكلة.
CoreGraphics
CVE-ID: CVE-2008-2321
متوفر لما يلي: Windows XP أو Vista
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: ينطوي CoreGraphics على مشاكل تتعلق بتلف الذاكرة أثناء معالجة الوسيطات. قد يؤدي تمرير مدخلات غير موثوقة إلى CoreGraphics عبر أحد التطبيقات، مثل متصفح الويب، إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال التحقق المحسن للحدود. بالنسبة لأنظمة Mac OS X، تتم معالجة هذه المشكلة في تحديث الأمان 2008-005. نتوجه بالشكر إلى Michal Zalewsky من .Google Inc للإبلاغ عن هذه المشكلة.
CoreGraphics
CVE-ID: CVE-2009-1705
متوفر لما يلي: Windows XP أو Vista
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: توجد مشكلة تتعلق بتلف الذاكرة أثناء معالجة خطوط TrueType. قد تؤدي مشكلة حسابية في التلميح التلقائي للخطوط إلى تلف الذاكرة. قد تؤدي زيارة موقع ويب متطفل باستخدام الخطوط المضمنة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال التحقق المحسّن من صحة إدخال بيانات خط TrueType. لا تؤثر هذه المشكلة على أنظمة Mac OS X. يرجع الفضل إلى Clint Ruoho من Laconic Security وTavis Ormandy من فريق Google Security Team للإبلاغ عن هذه المشكلة.
CoreGraphics
CVE-ID: CVE-2009-0946
متوفر لما يلي: Windows XP أو Vista
التأثير: ثغرات أمنية متعددة في FreeType v2.3.8
الوصف: توجد عمليات تجاوز متعددة للأعداد الصحيحة في FreeType v2.3.8، مما قد يؤدي إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. يعالج هذا التحديث المشكلات من خلال التحقق المحسن من الحدود. لا تؤثر هذه المشاكل في CoreGraphics على أنظمة Mac OS X. يعود الفضل إلى Tavis Ormandy من فريق Google Security للإبلاغ عن هذه المشكلات.
CoreGraphics
CVE-ID: CVE-2009-0145
متوفر لما يلي: Windows XP أو Vista
التأثير: قد يؤدي فتح ملف PDF متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: توجد العديد من المشاكل المتعلقة بتلف الذاكرة في معالجة CoreGraphics لملفات PDF. قد يؤدي فتح ملف PDF تم إنشاؤه بشكل متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. يعالج هذا التحديث المشكلات من خلال الحدود المحسنة والتحقق من الأخطاء. بالنسبة لأنظمة Mac OS X v10.5، تتم معالجة هذه المشكلة في Mac OS X v10.5.7. بالنسبة لأنظمة Mac OS X v10.4.11، تتم معالجة هذه المشكلة في تحديث الأمان 002-2009.
CoreGraphics
CVE-ID: CVE-2009-1179
متوفر لما يلي: Windows XP أو Vista
التأثير: قد يؤدي فتح ملف PDF متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: توجد عملية تجاوز لعدد صحيح في معالجة CoreGraphics لملفات PDF التي تحتوي على تدفقات JBIG2. قد يؤدي فتح ملف PDF يحتوي على تدفق JBIG2 متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال التحقق المحسن للحدود. يعود الفضل إلى Will Dormann من CERT/CC للإبلاغ عن هذه المشكلة.
ImageIO
CVE-ID: CVE-2009-0040
متوفر لما يلي: Windows XP أو Vista
التأثير: قد تؤدي معالجة صورة PNG متطفلة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: توجد مشكلة تتعلق بالمؤشر غير المهيأ في معالجة صور PNG. قد تؤدي معالجة صورة PNG متطفلة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. يعالج هذا التحديث المشكلة عن طريق إجراء التحقق الإضافي من صحة صور PNG. يرجع الفضل إلى Tavis Ormandy من فريق Google Security Team للإبلاغ عن هذه المشكلة.
International Components for Unicode
CVE-ID: CVE-2009-0153
متوفر لما يلي: Windows XP أو Vista
التأثير: قد يتجاوز المحتوى المتطفل فلاتر موقع الويب ويؤدي إلى البرمجة النصية عبر المواقع
الوصف: توجد مشكلة في التنفيذ أثناء معالجة ICU لترميزات أحرف معينة. قد يؤدي استخدام ICU لتحويل تسلسلات البايت غير الصالحة إلى Unicode إلى الإفراط في الاستهلاك، حيث تعتبر البايتات الزائدة جزءًا من الحرف الأصلي. قد يستفيد أحد المهاجمين من ذلك لتجاوز عوامل التصفية على مواقع الويب التي تحاول التخفيف من البرمجة النصية عبر المواقع. يعالج هذا التحديث المشكلة من خلال المعالجة المحسنة لتسلسلات البايت غير الصالحة. بالنسبة لأنظمة Mac OS X v10.5، تتم معالجة هذه المشكلة في Mac OS X v10.5.7. يرجع الفضل إلى Chris Weber من Casaba Security للإبلاغ عن هذه المشكلة.
libxml
CVE-ID: CVE-2008-3281، CVE-2008-3529، CVE-2008-4409، CVE-2008-4225، CVE-2008-4226
متوفر لما يلي: Mac OS X v10.4.11 أو Mac OS X Server v10.4.11 أو Mac OS X v10.5.7 أو Mac OS X Server v10.5.7 أو Windows XP أو Vista
التأثير: ثغرات أمنية متعددة في الإصدار 2.6.16 من libxml2
الوصف: توجد ثغرات أمنية متعددة في الإصدار 2.6.16 من libxml2، أخطرها قد يؤدي إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. في Windows، تتم معالجة هذه المشكلات عن طريق تحديث libxml2 إلى الإصدار 2.7.3. في Mac OS X v10.4.11 و Mac OS X v10.5.7، تتم معالجة هذه المشكلات عن طريق تطبيق التصحيحات ذات الصلة.
Safari
CVE-ID: CVE-2009-1682
متوفر لما يلي: Mac OS X v10.4.11 أو Mac OS X Server v10.4.11 أو Mac OS X v10.5.7 أو Mac OS X Server v10.5.7 أو Windows XP أو Vista
التأثير: قد لا تؤدي زيارة موقع إلكتروني بشهادة تحقق موسع من الصحة تم إبطالها إلى عرض تحذير من الشهادة
الوصف: قد تتسبب مشكلة في معالجة سفاري لشهادات التحقق الموسع من الصحة في تجاوز التحقق من الإبطال. هذا من شأنه أن يسمح بتحميل صفحة بدون إصدار تحذير لشهادة تحقق موسع من الصحة تم إبطالها. يعالج هذا التحديث المشكلة من خلال تحقق محسّن للإبطال لشهادات التحقق الموسع من الصحة. يرجع الفضل إلى Bruce Morton للإبلاغ عن هذه المشكلة.
Safari
CVE-ID: CVE-2009-1706
متوفر لما يلي: Windows XP أو Vista
التأثير: قد تبقى ملفات تعريف الارتباط التي تم تعيينها أثناء جلسة التصفح الخاص بعد انتهاء التصفح الخاص
الوصف: تم تصميم خاصية التصفح الخاص في سفاري للسماح للمستخدمين بالتصفح بدون ترك دليل على جلسة التصفح على القرص. قد تتسبب مشكلة في تنفيذ التصفح الخاص في بقاء ملفات تعريف الارتباط على القرص بعد انتهاء التصفح الخاص. قد يؤدي ذلك إلى كشف غير متوقع عن معلومات حساسة. يعالج هذا التحديث هذه المشكلة عن طريق إزالة ملفات تعريف الارتباط من مخزن ملفات تعريف الارتباط البديل عند تعطيل التصفح الخاص أو إنهاء سفاري. لا تؤثر هذه المشكلة على أنظمة Mac OS X. يرجع الفضل إلى Michael Hay من Beatnik Monkey Software للإبلاغ عن هذه المشكلة.
Safari
CVE-ID: CVE-2009-1707
متوفر لما يلي: Windows XP أو Vista
التأثير: قد لا تؤدي "إعادة تعيين سفاري" إلى إزالة كلمات سر مواقع الويب من الذاكرة على الفور
الوصف: بعد النقر على الزر "إعادة تعيين" في "إعادة تعيين الأسماء وكلمات السر المحفوظة" في خيار القائمة "إعادة تعيين سفاري…"، قد يستغرق سفاري ما يصل إلى 30 ثانية لمسح كلمات السر. قد يتمكن المستخدم الذي له حق الوصول إلى النظام خلال هذا الإطار الزمني من الوصول إلى بيانات الاعتماد المخزنة. تتم معالجة هذه المشكلة من خلال حل حالة التعارض التي تؤدي إلى التأخير. لا تؤثر هذه المشكلة على أنظمة Mac OS X. يرجع الفضل إلى Philippe Couturier من izypage.com وAndrew Wellington من The Australian National University للإبلاغ عن هذه المشكلة.
Safari
CVE-ID: CVE-2009-1708
متوفر لما يلي: Mac OS X v10.4.11 أو Mac OS X Server v10.4.11 أو Mac OS X v10.5.7 أو Mac OS X Server v10.5.7 أو Windows XP أو Vista
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى الكشف عن محتوى ملف محلي أو تنفيذ تعليمات برمجية عشوائية
الوصف: وجود مشكلة في معالج عنوان URL الخاص بربط فتح المساعدة في سفاري قد يسمح لموقع ويب متطفل أن يفتح ملفات المساعدة المحلية. قد يؤدي ذلك إلى الكشف عن معلومات حساسة أو تنفيذ تعليمات برمجية عشوائية. يعالج هذا التحديث هذه المشكلة عن طريق منع المواقع البعيدة من استدعاء معالج عنوان URL الخاص بربط فتح المساعدة. يرجع الفضل إلى Billy Rios وفريق Microsoft Vulnerability Research للإبلاغ عن هذه المشكلة.
Safari Windows Installer
متوفر لما يلي: Windows XP أو Vista
التأثير: قد يعمل سفاري بامتيازات عالية
الوصف: يتضمن مثبت سفاري خانة اختيار لتشغيل سفاري مباشرةً بعد التثبيت. إذا تم تحديد خانة الاختيار هذه، فإن طريقة الضغط في المثبت ستؤدي إلى تشغيل سفاري بامتيازات عالية عند تشغيله الأولي. تتم معالجة المشكلة باستخدام طريقة ضغط مختلفة في المثبت. لا تؤثر هذه المشكلة على أنظمة Mac OS X. يرجع الفضل إلى Dave English من Lutnos للإبلاغ عن هذه المشكلة.
WebKit
CVE-ID: CVE-2006-2783
متوفر لما يلي: Mac OS X v10.4.11 أو Mac OS X Server v10.4.11 أو Mac OS X v10.5.7 أو Mac OS X Server v10.5.7 أو Windows XP أو Vista
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى هجوم برمجة نصية عبر المواقع
الوصف: يتجاهل WebKit تسلسلات علامات ترتيب وحدات بايت Unicode عند تحليل صفحات الويب. تحاول بعض مواقع الويب ومرشحات محتوى الويب تنقية الإدخال عن طريق حظر علامات HTML محددة. قد يتم تجاوز هذا الأسلوب في التصفية ويؤدي إلى البرمجة النصية عبر المواقع عند مواجهة علامات HTML المصممة بشكل ضار والتي تحتوي على تسلسلات علامات ترتيب البايت. يعالج هذا التحديث المشكلة من خلال المعالجة المحسنة لتسلسلات علامات ترتيب البايت. يرجع الفضل إلى Chris Weber من شركة Casaba Security, LLC للإبلاغ عن هذه المشكلة.
WebKit
CVE-ID: CVE-2008-1588
متوفر لما يلي: Mac OS X v10.4.11 أو Mac OS X Server v10.4.11 أو Mac OS X v10.5.7 أو Mac OS X Server v10.5.7 أو Windows XP أو Vista
التأثير: يمكن استخدام مسافات أيديوغرامية Unicode لانتحال موقع ويب
الوصف: عند عرض سفاري لعنوان URL الحالي في شريط العناوين، يتم عرض مسافات أيديوغرامية بترميز Unicode. يسمح هذا لموقع ويب متطفل بتوجيه المستخدم إلى موقع مقلد يبدو بصريًا وكأنه موقعًا بنطاق شرعي. يتعامل هذا التحديث مع المشكلة عن طريق عدم عرض المسافات الأيديوغرافية اليونيكود في شريط العنوان.
WebKit
CVE-ID: CVE-2008-7260
متوفر لما يلي: Mac OS X v10.4.11 أو Mac OS X Server v10.4.11 أو Mac OS X v10.5.7 أو Mac OS X Server v10.5.7 أو Windows XP أو Vista
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: توجد مشكلة تتعلق بتلف الذاكرة في معالجة WebKit لسلاسل الألوان غير الصالحة في CSS. قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق، أو تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال المعالجة المحسّنة لسلاسل الألوان. يرجع الفضل إلى Thomas Raffetseder من International Secure Systems Lab للإبلاغ عن هذه المشكلة.
WebKit
CVE-ID: CVE-2008-3632
متوفر لما يلي: Mac OS X v10.4.11 أو Mac OS X Server v10.4.11 أو Mac OS X v10.5.7 أو Mac OS X Server v10.5.7 أو Windows XP أو Vista
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: توجد مشكلة تتعلق بالاستخدام بعد التحرير في معالجة WebKit لعبارات '@import' ضمن أوراق الأنماط المتتالية. قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق، أو تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال المعالجة المحسّنة لأوراق الأنماط. يرجع الفضل إلى Dean McNamee من Google Inc. للإبلاغ عن هذه المشكلة.
WebKit
CVE-ID: CVE-2008-4231
متوفر لما يلي: Mac OS X v10.4.11 أو Mac OS X Server v10.4.11 أو Mac OS X v10.5.7 أو Mac OS X Server v10.5.7 أو Windows XP أو Vista
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: توجد مشكلة تتعلق بالوصول إلى الذاكرة غير المهيأة في معالجة WebKit لجداول HTML. قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق، أو تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال التهيئة المناسبة للتمثيل الداخلي لجداول HTML. يعود الفضل إلى Haifei Li من Fortinet's FortiGuard Global Security Research Team للإبلاغ عن هذه المشكلة.
WebKit
CVE-ID: CVE-2009-1681
متوفر لما يلي: Mac OS X v10.4.11 أو Mac OS X Server v10.4.11 أو Mac OS X v10.5.7 أو Mac OS X Server v10.5.7 أو Windows XP أو Vista
التأثير: قد يؤدي التفاعل مع موقع ويب متطفل إلى إجراءات غير متوقعة على مواقع أخرى
الوصف: توجد مشكلة في التصميم في آلية سياسة الأصل الواحد المستخدمة للحد من التفاعلات بين مواقع الويب. تسمح هذه السياسة لمواقع الويب بتحميل صفحات من مواقع ويب تابعة لجهات خارجية في إطار فرعي. قد يتم وضع هذا الإطار لإغراء المستخدم بالنقر على عنصر معين داخل الإطار، وهو هجوم يُشار إليه باسم "تغيير وجهة النقر". قد يكون موقع الويب المتطفل قادرًا على التلاعب بالمستخدم لاتخاذ إجراء غير متوقع، مثل بدء عملية شراء. يعالج هذا التحديث المشكلة من خلال اعتماد رأس ملحق 'X-Frame-Options' القياسي في المجال، والذي يسمح لصفحات الويب الفردية بإلغاء اختيار عرضها داخل إطار فرعي.
WebKit
CVE-ID: CVE-2009-1684
متوفر لما يلي: Mac OS X v10.4.11 أو Mac OS X Server v10.4.11 أو Mac OS X v10.5.7 أو Mac OS X Server v10.5.7 أو Windows XP أو Vista
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى برمجة نصية عبر المواقع
الوصف: توجد مشكلة في البرمجة النصية عبر المواقع في فصل سياقات JavaScript. قد تستخدم صفحة ويب متطفلة معالج أحداث لتنفيذ برنامج نصي في سياق الأمان لصفحة الويب التالية التي يتم تحميلها في نافذتها أو إطارها. يعالج هذا التحديث المشكلة من خلال ضمان عدم قدرة معالجات الأحداث على التأثير مباشرةً على انتقال الصفحة قيد التنفيذ. نتوجه بالشكر إلى Michal Zalewsky من .Google Inc للإبلاغ عن هذه المشكلة.
WebKit
CVE-ID: CVE-2009-1685
متوفر لما يلي: Mac OS X v10.4.11 أو Mac OS X Server v10.4.11 أو Mac OS X v10.5.7 أو Mac OS X Server v10.5.7 أو Windows XP أو Vista
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى برمجة نصية عبر المواقع
الوصف: توجد مشكلة في البرمجة النصية عبر المواقع في فصل سياقات JavaScript. من خلال إغراء المستخدم بزيارة صفحة ويب متطفلة، قد يكتب المهاجم فوق 'document.implementation' لمستند مضمن أو رئيسي يتم تقديمه من منطقة أمان مختلفة. يعالج هذا التحديث المشكلة من خلال ضمان عدم تأثير التغييرات في 'document.implementation' على المستندات الأخرى. يرجع الفضل إلى Dean McNamee من Google Inc. للإبلاغ عن هذه المشكلة.
WebKit
CVE-ID: CVE-2009-1686
متوفر لما يلي: Mac OS X v10.4.11 أو Mac OS X Server v10.4.11 أو Mac OS X v10.5.7 أو Mac OS X Server v10.5.7 أو Windows XP أو Vista
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى تنفيذ تعليمات برمجية عشوائية
الوصف: توجد مشكلة في تحويل النوع في معالجة استثناءات JavaScript في WebKit. عند إجراء محاولة لتعيين الاستثناء إلى متغير تم تعريفه على أنه ثابت، يتم تحويل الكائن إلى نوع غير صالح، مما يتسبب في تلف الذاكرة. قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق، أو تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال التأكد من أن التعيين في تعريف الثابت يكتب إلى الكائن المتغير. يرجع الفضل إلى Jesse Ruderman من Mozilla Corporation للإبلاغ عن هذه المشكلة.
WebKit
CVE-ID: CVE-2009-1687
متوفر لما يلي: Mac OS X v10.4.11 أو Mac OS X Server v10.4.11 أو Mac OS X v10.5.7 أو Mac OS X Server v10.5.7 أو Windows XP أو Vista
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: توجد مشكلة تتعلق بتلف الذاكرة في أداة تجميع البيانات عديمة النفع لدى JavaScript في WebKit. في حالة فشل التخصيص، قد يؤدي ذلك إلى عملية إرسال إلى الذاكرة بإزاحة نحو مؤشر فارغ، مما يؤدي إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. يعالج هذا التحديث المشكلة عن طريق التحقق من فشل التخصيص. يرجع الفضل إلى SkyLined من Google Inc. للإبلاغ عن هذه المشكلة.
WebKit
CVE-ID: CVE-2009-1688
متوفر لما يلي: Mac OS X v10.4.11 أو Mac OS X Server v10.4.11 أو Mac OS X v10.5.7 أو Mac OS X Server v10.5.7 أو Windows XP أو Vista
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى برمجة نصية عبر المواقع
الوصف: لا يستخدم WebKit طريقة HTML 5 القياسية لتحديد سياق الأمان المرتبط ببرنامج نصي معين. قد تؤدي إحدى المشكلات المتعلقة بالتنفيذ في طريقة WebKit إلى حدوث هجوم برمجة نصية عبر المواقع في ظل ظروف معينة. يعالج هذا التحديث المشكلة من خلال استخدام طريقة متوافقة مع المعايير لتحديد سياق الأمان المرتبط ببرنامج نصي. يرجع الفضل إلى Adam Barth من UC Berkeley وCollin Jackson من Stanford University للإبلاغ عن هذه المشكلة.
WebKit
CVE-ID: CVE-2009-1689
متوفر لما يلي: Mac OS X v10.4.11 أو Mac OS X Server v10.4.11 أو Mac OS X v10.5.7 أو Mac OS X Server v10.5.7 أو Windows XP أو Vista
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى هجوم برمجة نصية عبر المواقع
الوصف: توجد مشكلة برمجة نصية عبر المواقع في WebKit. قد يستبدل موقع ويب متطفل يحتوي على نموذج تم إرساله إلى 'about:blank' بشكل متزامن سياق أمان المستند، مما يسمح بتشغيل البرامج النصية التي يتم تنفيذها حاليًا في سياق الأمان الجديد. يعالج هذا التحديث المشكلة من خلال تحسين معالجة التفاعل بين المواقع مع إرسال النماذج. يرجع الفضل إلى Adam Barth من UC Berkeley وCollin Jackson من Stanford University للإبلاغ عن هذه المشكلة.
Webkit
CVE-ID: CVE-2009-1690
متوفر لما يلي: Mac OS X v10.4.11 أو Mac OS X Server v10.4.11 أو Mac OS X v10.5.7 أو Mac OS X Server v10.5.7 أو Windows XP أو Vista
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: توجد مشكلة تتعلق بتلف الذاكرة في معالجة WebKit للتكرار في بعض معالجات أحداث DOM. قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق، أو تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال إدارة الذاكرة المحسّنة. يرجع الفضل إلى SkyLined من Google Inc وwushi & ling من team509 العامل مع Verisign iDefense VCP للإبلاغ عن هذه المشكلة.
WebKit
CVE-ID: CVE-2009-1691
متوفر لما يلي: Mac OS X v10.4.11 أو Mac OS X Server v10.4.11 أو Mac OS X v10.5.7 أو Mac OS X Server v10.5.7 أو Windows XP أو Vista
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى برمجة نصية عبر المواقع
الوصف: تسمح مشكلة البرمجة النصية عبر المواقع في سفاري لموقع ويب متطفل بتغيير نماذج JavaScript القياسية لمواقع الويب التي يتم عرضها من نطاق مختلف. من خلال إغراء المستخدم بزيارة صفحة ويب متطفلة، قد يتمكن المهاجم من تغيير تنفيذ JavaScript التي يتم تقديمها من مواقع ويب أخرى. يعالج هذا التحديث المشكلة من خلال عناصر تحكم محسّنة للوصول إلى هذه النماذج الأولية.
WebKit
CVE-ID: CVE-2009-1693
متوفر لما يلي: Mac OS X v10.4.11 أو Mac OS X Server v10.4.11 أو Mac OS X v10.5.7 أو Mac OS X Server v10.5.7 أو Windows XP أو Vista
التأثير: قد تكشف زيارة موقع ويب متطفل عن صور من مواقع أخرى
الوصف: توجد مشكلة تتعلق بالتقاط صور عبر المواقع في WebKit. من خلال استخدام لوحة مع صورة SVG، قد يُجري موقع ويب متطفل تحميل صورة من موقع ويب آخر والتقاطها. يعالج هذا التحديث المشكلة من خلال تقييد قراءة اللوحات التي تحتوي على صور محملة من مواقع ويب أخرى. يرجع الفضل إلى Chris Evans من Google Inc. للإبلاغ عن هذه المشكلة.
WebKit
CVE-ID: CVE-2009-1694
متوفر لما يلي: Mac OS X v10.4.11 أو Mac OS X Server v10.4.11 أو Mac OS X v10.5.7 أو Mac OS X Server v10.5.7 أو Windows XP أو Vista
التأثير: قد تكشف زيارة موقع ويب متطفل عن صور من مواقع أخرى
الوصف: توجد مشكلة تتعلق بالتقاط صور عبر المواقع في WebKit. من خلال استخدام لوحة وإعادة توجيه، قد يُجري موقع ويب متطفل تحميل صورة من موقع ويب آخر والتقاطها. يعالج هذا التحديث المشكلة من خلال المعالجة المحسَّنة لعمليات إعادة التوجيه. يرجع الفضل إلى Chris Evans للإبلاغ عن هذه المشكلة.
WebKit
CVE-ID: CVE-2009-1695
متوفر لما يلي: Mac OS X v10.4.11 أو Mac OS X Server v10.4.11 أو Mac OS X v10.5.7 أو Mac OS X Server v10.5.7 أو Windows XP أو Vista
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى هجوم برمجة نصية عبر المواقع
الوصف: توجد مشكلة في WebKit تسمح بالوصول إلى محتويات الإطار بواسطة مستند HTML بعد حدوث انتقال للصفحة. قد يسمح هذا لموقع ويب متطفل بتنفيذ هجوم برمجة نصية عبر المواقع. يعالج هذا التحديث المشكلة من خلال التحقق المحسّن للنطاق. يرجع الفضل إلى Feng Qian من Google Inc. للإبلاغ عن هذه المشكلة.
WebKit
CVE-ID: CVE-2009-1696
متوفر لما يلي: Mac OS X v10.4.11 أو Mac OS X Server v10.4.11 أو Mac OS X v10.5.7 أو Mac OS X Server v10.5.7 أو Windows XP أو Vista
التأثير: قد تتعقب مواقع الويب المستخدمين خلسةً
الوصف: ينشئ سفاري أرقامًا عشوائية لتطبيقات JavaScript باستخدام خوارزمية يمكن التنبؤ بها. يمكن أن يسمح ذلك لموقع ويب بتتبع جلسة سفاري معينة بدون استخدام ملفات تعريف الارتباط أو عناصر النموذج المخفية أو عناوين IP أو تقنيات أخرى. يعالج هذا التحديث المشكلة من خلال استخدام مولد أفضل للأرقام العشوائية. يرجع الفضل إلى Amit Klein من Trusteer للإبلاغ عن هذه المشكلة.
WebKit
CVE-ID: CVE-2009-1697
متوفر لما يلي: Mac OS X v10.4.11 أو Mac OS X Server v10.4.11 أو Mac OS X v10.5.7 أو Mac OS X Server v10.5.7 أو Windows XP أو Vista
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى هجوم برمجة نصية عبر المواقع
الوصف: توجد مشكلة تضمين CRLF في معالجة رؤوس XMLHttpRequest في WebKit. قد يسمح هذا الأمر لمواقع الويب المتطفلة بتجاوز سياسة الأصل نفسه من خلال إصدار XMLHttpRequest لا يحتوي على رأس مضيف. قد يصل XMLHttpRequests بدون رأس مضيف إلى مواقع ويب أخرى على نفس السيرفر، ويسمح لـ JavaScript التي يطلقها المهاجمون بالتفاعل مع تلك المواقع. يعالج هذا التحديث المشكلة من خلال المعالجة المحسّنة لرؤوس XMLHttpReques. يرجع الفضل إلى Per von Zweigbergk للإبلاغ عن هذه المشكلة.
WebKit
CVE-ID: CVE-2009-1698
متوفر لما يلي: Mac OS X v10.4.11 أو Mac OS X Server v10.4.11 أو Mac OS X v10.5.7 أو Mac OS X Server v10.5.7 أو Windows XP أو Vista
التأثير: قد تؤدي زيارة صفحة ويب متطفلة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: توجد مشكلة تتعلق بالمؤشر غير المهيأ في معالجة وظيفة 'attr' في CSS. قد يؤدي عرض صفحة ويب متطفلة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال التحقق الإضافي من صحة عناصر CSS. يرجع الفضل إلى Thierry Zoller العامل في مبادرة Zero Day Initiative التابعة لـ TippingPointh وRobert Swiecki من فريق Google Security Team للإبلاغ عن هذه المشكلة باعتبارها مشكلة متعلقة بالأمان.
WebKit
CVE-ID: CVE-2009-1699
متوفر لما يلي: Mac OS X v10.4.11 أو Mac OS X Server v10.4.11 أو Mac OS X v10.5.7 أو Mac OS X Server v10.5.7 أو Windows XP أو Vista
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى الكشف عن معلومات
الوصف: توجد مشكلة في الكيان الخارجي لـ XML في معالجة WebKit لـ XML. قد يكون موقع الويب المتطفل قادرًا على قراءة الملفات من نظام المستخدم. يعالج هذا التحديث المشكلة من خلال عدم تحميل الكيانات الخارجية عبر الأصول. يرجع الفضل إلى Chris Evans من Google Inc. للإبلاغ عن هذه المشكلة.
WebKit
CVE-ID: CVE-2009-1700
متوفر لما يلي: Mac OS X v10.4.11 أو Mac OS X Server v10.4.11 أو Mac OS X v10.5.7 أو Mac OS X Server v10.5.7 أو Windows XP أو Vista
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى الكشف عن معلومات حساسة
الوصف: لا يتعامل WebKit مع عمليات إعادة التوجيه بشكل صحيح عند معالجة تحويلات لغة الأنماط القابلة للتوسيع (XSLT). يسمح ذلك لموقع ويب متطفل باسترداد محتوى XML من صفحات على مواقع ويب أخرى، مما قد يؤدي إلى الكشف عن معلومات حساسة. يعالج هذا التحديث هذه المشكلة من خلال ضمان تنزيل المستندات المشار إليها في التحويلات من المجال نفسه الذي يتم فيه التحويل نفسه. يرجع الفضل إلى Chris Evans من Google للإبلاغ عن هذه المشكلة.
WebKit
CVE-ID: CVE-2009-1701
متوفر لما يلي: Mac OS X v10.4.11 أو Mac OS X Server v10.4.11 أو Mac OS X v10.5.7 أو Mac OS X Server v10.5.7 أو Windows XP أو Vista
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: توجد مشكلة تتعلق بالاستخدام بعد التحرير في معالجة WebKit لـ DOM في JavaScript. قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق، أو تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال المعالجة المحسّنة لعناصر المستندات. يرجع الفضل إلى wushi & ling من team509 العامل في مبادرة Zero Day Initiative التابعة لـ TippingPointh للإبلاغ عن هذه المشكلة.
WebKit
CVE-ID: CVE-2009-1702
متوفر لما يلي: Mac OS X v10.4.11 أو Mac OS X Server v10.4.11 أو Mac OS X v10.5.7 أو Mac OS X Server v10.5.7 أو Windows XP أو Vista
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى هجوم برمجة نصية عبر المواقع
الوصف: قد تؤدي مشكلة في معالجة WebKit لكائنات الموقع والمحفوظات إلى هجوم البرمجة النصية عبر المواقع عند زيارة موقع ويب متطفل. يعالج هذا التحديث المشكلة من خلال المعالجة المحسّنة لكائنات الموقع والمحفوظات. يرجع الفضل إلى Adam Barth وJoel Weinberger من UC Berkeley للإبلاغ عن هذه المشكلة.
WebKit
CVE-ID: CVE-2009-1703
متوفر لما يلي: Mac OS X v10.4.11 أو Mac OS X Server v10.4.11 أو Mac OS X v10.5.7 أو Mac OS X Server v10.5.7 أو Windows XP أو Vista
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى الكشف عن معلومات أو تنفيذ تعليمات برمجية عشوائية
الوصف: تسمح معالجة WebKit لعناصر الفيديو والصوت لـ HTML لموقع ويب بعيد بالرجوع إلى عناوين URL المحلية لـ "file:". يمكن أن يجري موقع ويب متطفل فحصًا على وجود الملفات، مما قد يؤدي إلى الكشف عن معلومات. يعالج هذا التحديث المشكلة من خلال المعالجة المحسّنة لكائنات الفيديو والصوت. يعود الفضل إلى Dino Dai Zovi للإبلاغ عن هذه المشكلة.
WebKit
CVE-ID: CVE-2009-1709
متوفر لما يلي: Mac OS X v10.4.11 أو Mac OS X Server v10.4.11 أو Mac OS X v10.5.7 أو Mac OS X Server v10.5.7 أو Windows XP أو Vista
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: توجد مشكلة تتعلق بالاستخدام بعد التحرير في معالجة WebKit لعناصر الرسوم المتحركة SVG. قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق، أو تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال المعالجة المحسّنة لذاكرات التخزين المؤقت. يرجع الفضل إلى باحث غير معروفة هويته يعمل لدى TippingPoint's Zero Day Initiative للإبلاغ عن هذه المشكلة.
WebKit
CVE-ID: CVE-2009-1710
متوفر لما يلي: Mac OS X v10.4.11 أو Mac OS X Server v10.4.11 أو Mac OS X v10.5.7 أو Mac OS X Server v10.5.7 أو Windows XP أو Vista
التأثير: قد يخدع موقع ويب متطفل عناصر واجهة مستخدم المتصفح
الوصف: من خلال تحديد مؤشر مخصص كبير وغير مرئي في الغالب، وتعديل خاصية نقطة الاتصال CSS3، يمكن لموقع ويب متطفل أن يخدع عناصر واجهة مستخدم المتصفح، مثل اسم المضيف ومؤشرات الأمان. يعالج هذا التحديث المشكلة من خلال تقييد إضافي على المؤشرات المخصصة. يرجع الفضل إلى Dean McNamee من Google للإبلاغ عن هذه المشكلة
WebKit
CVE-ID: CVE-2009-1711
متوفر لما يلي: Mac OS X v10.4.11 أو Mac OS X Server v10.4.11 أو Mac OS X v10.5.7 أو Mac OS X Server v10.5.7 أو Windows XP أو Vista
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: توجد مشكلة في الوصول إلى الذاكرة غير المهيأة في معالجة WebKit لكائنات Attr في DOM. قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق، أو تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال التحقق المحسّن من صحة كائنات DOM. يرجع الفضل إلى Feng Qian من Google Inc. للإبلاغ عن هذه المشكلة.
Webkit
CVE-ID: CVE-2009-1712
متوفر لما يلي: Mac OS X v10.4.11 أو Mac OS X Server v10.4.11 أو Mac OS X v10.5.7 أو Mac OS X Server v10.5.7 أو Windows XP أو Vista
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى الكشف عن معلومات أو تنفيذ تعليمات برمجية عشوائية
الوصف: يسمح WebKit لمواقع الويب البعيدة بتحميل تطبيقات Java الصغيرة من النظام المحلي. قد لا تتوقع التطبيقات الصغيرة المحلية أن يتم تحميلها عن بُعد وقد تسمح للموقع البعيد بتنفيذ تعليمات برمجية عشوائية أو منح امتيازات غير متوقعة للموقع البعيد. يعالج هذا التحديث المشكلة من خلال منع مواقع الويب البعيدة من تحميل التطبيقات الصغيرة المحلية.
WebKit
CVE-ID: CVE-2009-1713
متوفر لما يلي: Mac OS X v10.4.11 أو Mac OS X Server v10.4.11 أو Mac OS X v10.5.7 أو Mac OS X Server v10.5.7 أو Windows XP أو Vista
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى الكشف عن معلومات
الوصف: توجد مشكلة تتعلق بالكشف عن معلومات في تنفيذ WebKit لوظيفة document() المستخدمة في مستندات XSLT. قد يكون موقع الويب المتطفل قادرًا على قراءة الملفات من مناطق أمان أخرى، بما في ذلك نظام المستخدم. يعالج هذا التحديث المشكلة من خلال منع تحميل الموارد عبر الأصول. يرجع الفضل إلى Chris Evans من Google للإبلاغ عن هذه المشكلة.
WebKit
CVE-ID: CVE-2009-1714
متوفر لما يلي: Mac OS X v10.4.11 أو Mac OS X Server v10.4.11 أو Mac OS X v10.5.7 أو Mac OS X Server v10.5.7 أو Windows XP أو Vista
التأثير: قد يؤدي استخدام مراقب الويب على موقع ويب متطفل إلى برمجة نصية عبر المواقع
الوصف: تسمح مشكلة في مراقب الويب للصفحة التي يتم فحصها بتشغيل برنامج نصي متضمن امتيازات عالية، بما في ذلك القدرة على قراءة نظام ملفات المستخدم. يعالج هذا التحديث المشكلة عن طريق التخلص الصحيح من سمات HTML. يرجع الفضل إلى Pengsu Cheng من Wuhan University للإبلاغ عن هذه المشكلة.
WebKit
CVE-ID: CVE-2009-1715
متوفر لما يلي: Mac OS X v10.4.11 أو Mac OS X Server v10.4.11 أو Mac OS X v10.5.7 أو Mac OS X Server v10.5.7 أو Windows XP أو Vista
التأثير: قد يؤدي استخدام مراقب الويب على موقع ويب متطفل إلى برمجة نصية عبر المواقع
الوصف: تسمح مشكلة في مراقب الويب للصفحة التي يتم فحصها بتشغيل برنامج نصي متضمن امتيازات عالية، بما في ذلك القدرة على قراءة نظام ملفات المستخدم. يعالج هذا التحديث المشكلة عن طريق تنفيذ البرامج النصية بامتيازات صفحة الويب التي يتم فحصها. يرجع الفضل إلى Collin Jackson من Stanford University وAdam Barth من UC Berkeley للإبلاغ عن هذه المشكلة.
WebKit
CVE-ID: CVE-2009-1718
متوفر لما يلي: Mac OS X v10.4.11 أو Mac OS X Server v10.4.11 أو Mac OS X v10.5.7 أو Mac OS X Server v10.5.7 أو Windows XP أو Vista
التأثير: قد يؤدي سحب المحتوى فوق صفحة ويب متطفلة إلى الكشف عن معلومات
الوصف: توجد مشكلة في معالجة WebKit لأحداث السحب. قد يؤدي ذلك إلى الكشف عن معلومات حساسة عند سحب المحتوى على صفحة ويب متطفلة. يعالج هذا التحديث المشكلة من خلال المعالجة المحسّنة لأحداث السحب. يرجع الفضل إلى Eric Seidel من Google, Inc. للإبلاغ عن هذه المشكلة.
مهم: تعد الإشارة إلى مواقع الويب والمنتجات الخاصة بالجهات الخارجية لأغراض معلوماتية فقط، ولا تشكّل إقرارًا أو توصية. لا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار المعلومات أو المنتجات الموجودة على مواقع الويب التابعة لجهات خارجية أو أدائها أو استخدامها. توفر Apple ذلك من باب التيسير على مستخدمينا. لم تختبر Apple المعلومات الموجودة على هذه المواقع، ولا تُقدّم أية إقرارات فيما يتعلق بدقتها أو موثوقيتها. ثمة مخاطر كامنة في استخدام أي معلومات أو منتجات موجودة على الإنترنت، ولا تتحمل Apple أي مسؤولية في هذا الشأن. الرجاء إدراك أن هذا موقع تابع لجهة خارجية مستقلة عن Apple، ولا تمارس Apple أي رقابة على المحتوى المعروض على هذا الموقع الإلكتروني. يُرجى الاتصال بالبائع للحصول على معلومات إضافية.