نبذة عن محتوى أمان سفاري 4.0.3
يتناول هذا المستند محتوى أمان سفاري 4.0.3.
لحماية عملائنا، لا تفصح Apple عن مشاكل الأمان أو تناقشها أو تؤكدها لحين إجراء استقصاء كامل، مع توفّر أي برامج تصحيح أو إصدارات ضرورية. للتعرّف على المزيد حول أمان منتجات Apple، تفضل بزيارة موقع أمان منتجات Apple.
للحصول على معلومات حول مفتاح PGP لأمان منتجات Apple، راجع "كيفية استخدام مفتاح PGP لأمان منتجات Apple."
إن أمكن، يتم استخدام معرفات CVE للإشارة إلى الثغرات لمعرفة المزيد من المعلومات.
للتعرّف على تحديثات الأمان الأخرى، راجع "تحديثات أمان Apple."
سفاري 4.0.3
CoreGraphics
CVE-ID: CVE-2009-2468
متوفر لما يلي: Windows XP وVista
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: يوجد تجاوز في سعة المخزن المؤقت لكومة الذاكرة المؤقتة في رسم سلاسل نصية طويلة. قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق، أو تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال التحقق المحسن للحدود. يعود الفضل إلى Will Drewry من شركة Google Inc. للإبلاغ عن هذه المشكلة.
ImageIO
CVE-ID: CVE-2009-2188
متوفر لما يلي: Windows XP وVista
التأثير: قد يؤدي عرض صورة متطفلة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: يوجد تجاوز في سعة المخزن المؤقت أثناء معالجة بيانات تعريف EXIF. قد تؤدي عملية عرض صورة متطفلة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال التحقق المحسن للحدود.
Safari
CVE-ID: CVE-2009-2196
متوفر لما يلي: Mac OS X v10.4.11 وMac OS X Server v10.4.11 وMac OS X v10.5.7 وMac OS X Server v10.5.7 وMac OS X v10.5.8 وMac OS X Server v10.5.8 وWindows XP وVista
التأثير: قد يتم الترويج لموقع ويب متطفل في عرض "أهم المواقع" في سفاري
الوصف: قدّم سفاري 4 ميزة "أهم المواقع" لتوفير نظرة سريعة على مواقع الويب المفضلة للمستخدم. قد يروّج موقع متطفل لمواقع عشوائية في نافذة "أهم المواقع" من خلال إجراءات تلقائية. ويمكن استخدام هذا لتسهيل هجوم التصيد الاحتيالي. وقد تمت معالجة هذه المشكلة عن طريق منع زيارات موقع الويب التلقائية من التأثير على قائمة "أهم المواقع". ولا يمكن تضمين مواقع الويب التي يزورها المستخدم في قائمة "أهم المواقع" إلا يدويًا. وللعلم، سفاري يتيح إمكانية اكتشاف المواقع الاحتيالية بشكل أساسي. منذ تقديم ميزة "أهم المواقع"، لم يتم عرض المواقع الاحتيالية في عرض "أهم المواقع". ويسعدنا أن نتوجّه بخالص الشكر إلى SecureThoughts.com للإبلاغ عن هذه المشكلة.
WebKit
CVE-ID: CVE-2009-2195
متوفر لما يلي: Mac OS X v10.4.11 وMac OS X Server v10.4.11 وMac OS X v10.5.7 وMac OS X Server v10.5.7 وMac OS X v10.5.8 وMac OS X Server v10.5.8 وWindows XP وVista
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: يوجد تجاوز في سعة المخزن المؤقت في تحليل WebKit لأرقام الفاصلة العائمة. قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق، أو تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال التحقق المحسن للحدود. يعود الفضل إلى: Apple.
WebKit
CVE-ID: CVE-2009-2200
متوفر لما يلي: Mac OS X v10.4.11 وMac OS X Server v10.4.11 وMac OS X v10.5.7 وMac OS X Server v10.5.7 وMac OS X v10.5.8 وMac OS X Server v10.5.8 وWindows XP وVista
التأثير: قد تؤدي زيارة موقع ويب متطفل والنقر على "انتقال" عند عرض مربع حوار المكون الإضافي المتطفل إلى الكشف عن معلومات حساسة
الوصف: يسمح WebKit لسمة صفحة المكونات الإضافية للعنصر "التضمين" بالإشارة إلى عناوين URL للملفات. سيؤدي النقر على "انتقال" في مربع الحوار الذي يظهر عند الإشارة إلى نوع مكوّن إضافي غير معروف إلى إعادة التوجيه إلى عنوان URL المدرج في سمة صفحة المكونات الإضافية. قد يسمح هذا للمخترق عن بُعد بإطلاق عناوين URL للملفات في سفاري، وقد يؤدي إلى الكشف عن معلومات حساسة. يعالج هذا التحديث المشكلة عن طريق تقييد مخطط URL لصفحة المكونات الإضافية على http أو https. ويسعدنا أن نتوجّه بخالص الشكر إلى Alexios Fakos من n.runs AG للإبلاغ عن هذه المشكلة.
WebKit
CVE-ID: CVE-2009-2199
متوفر لما يلي: Mac OS X v10.4.11 وMac OS X Server v10.4.11 وMac OS X v10.5.7 وMac OS X Server v10.5.7 وMac OS X v10.5.8 وMac OS X Server v10.5.8 وWindows XP وVista
التأثير: يمكن استخدام الأحرف المتشابهة في عنوان URL لإخفاء موقع ويب
الوصف: يُمكن استخدام دعم اسم النطاق الدولي (IDN) وخطوط Unicode المضمنة في سفاري لإنشاء عنوان URL يحتوي على أحرف متشابهة. ويمكن استخدامها في موقع ويب متطفل لتوجيه المستخدم إلى موقع مخادع يبدو بصريًا أنه مجال معتمد. يعالج هذا التحديث المشكلة عن طريق استكمال قائمة WebKit بالأحرف المتشابهة المعروفة. يتم عرض الأحرف المتشابهة في Punycode في شريط العناوين. يعود الفضل إلى Chris Weber من شركة Casaba Security, LLC للإبلاغ عن هذه المشكلة.
مهم: يتم تقديم معلومات عن المنتجات غير المصنّعة بواسطة Apple لأغراض الاطلاع فقط، ولا تعتبر توصية من جانب Apple أو موافقة عليها. يُرجى الاتصال بالبائع للحصول على معلومات إضافية.