نبذة عن محتوى أمان Safari 3.1.1

يتناول هذا المستند محتوى أمان Safari 3.1.1، الذي يمكن تنزيله وتثبيته عبر تفضيلات "تحديث البرامج" أو من تنزيلات Apple.

لحماية عملائنا، لا تفصح Apple عن مشاكل الأمان أو تناقشها أو تؤكدها لحين إجراء استقصاء كامل، مع توفّر أي برامج تصحيح أو إصدارات ضرورية. للتعرّف على المزيد حول أمان منتجات Apple، تفضل بزيارة موقع أمان منتجات Appleعلى الويب.

للحصول على معلومات حول مفتاح PGP لأمان منتجات Apple، راجع "كيفية استخدام مفتاح PGP لأمان منتجات Apple."

إن أمكن، يتم استخدام مُعرّفات CVE للإشارة إلى وجود ثغرات أمنية للحصول على مزيد من المعلومات.

للتعرّف على تحديثات الأمان الأخرى، راجع "تحديثات أمان Apple."

Safari 3.1.1

Safari

CVE-ID‏: CVE-2007-2398

متوفر لما يلي: Windows XP أو Vista

التأثير: قد يتحكم موقع ويب ضار في محتويات شريط العناوين.

الوصف: تؤدي مشكلة في التوقيت في Safari 3.1 إلى أن تقوم صفحة الويب بتغيير محتويات شريط العناوين دون تحميل محتويات الصفحة ذات الصلة. وبالتالي يمكن استخدام هذا لانتحال محتويات موقع شرعي، ما يسمح بجمع بيانات اعتماد المستخدم أو غيرها من المعلومات. تمت معالجة هذه المشكلة في الإصدار التجريبي من Safari 3.0.2، ولكن ظهرت المشكلة مرة أخرى في Safari 3.1. يعالج هذا التحديث المشكلة عن طريق استعادة محتويات شريط العناوين إذا تم إنهاء طلب صفحة ويب جديدة. لا تؤثر هذه المشكلة على أنظمة Mac OS X.

Safari

CVE-ID‏: CVE-2008-1024

متوفر لما يلي: Windows XP أو Vista

التأثير: قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق، أو تنفيذ تعليمة برمجية عشوائية.

الوصف: توجد مشكلة تتعلق بتلف الذاكرة في تنزيل ملف Safari. من خلال حث المستخدم على تنزيل ملف باسم متطفل، يمكن أن يتسبب مخترق في إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال المعالجة المحسَّنة لتنزيلات الملفات. لا تؤثر هذه المشكلة على أنظمة Mac OS X.

WebKit

CVE-ID‏: CVE-2008-1025

متوفر لما يلي: Mac OS X v10.4.11 أو Mac OS X Server v10.4.11 أو Mac OS X v10.5.2 أو Mac OS X Server v10.5.2 أو Windows XP أو Vista

التأثير: قد تؤدي زيارة موقع ويب ضار إلى البرمجة النصية على مستوى الموقع.

الوصف: توجد مشكلة في معالجة WebKit لعناوين URL التي تحتوي على حرف نقطي في اسم المضيف. قد يؤدي فتح عنوان URL ضار إلى اختراق البرمجة النصية على مستوى الموقع. يعالج هذا التحديث المشكلة من خلال المعالجة المحسَّنة لعناوين URL. نتوجّه بخالص الشكر إلى Robert Swiecki من Google Information Security Team وDavid Bloom للإبلاغ عن هذه المشكلة.

WebKit

CVE-ID‏: CVE-2008-1026

متوفر لما يلي: Mac OS X v10.4.11 أو Mac OS X Server v10.4.11 أو Mac OS X v10.5.2 أو Mac OS X Server v10.5.2 أو Windows XP أو Vista

التأثير: قد تؤدي عملية عرض صفحة ويب متطفلة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية.

الوصف: يوجد تجاوز سعة التخزين المؤقت لكومة الذاكرة المؤقتة خلال معالجة WebKit لتعبيرات JavaScript الاعتيادية. قد يتم تشغيل المشكلة عبر JavaScript عند معالجة تعبيرات اعتيادية متداخلة ذات عدد تكرار كبير. قد يؤدي ذلك إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال إجراء تحقّق إضافي من تعبيرات JavaScript الاعتيادية. نتوجّه بخالص الشكر إلى Charlie Miller وJake Honoroff وMark Daniel الذين يعملون مع مبادرة Zero Day Initiative من TippingPoint للإبلاغ عن هذه المشكلة.