Informace o bezpečnostním obsahu Safari 3.1.2 pro Windows

Tento dokument popisuje bezpečnostní obsah Safari 3.1.2 pro Windows, který lze stáhnout a nainstalovat pomocí předvoleb Aktualizace softwaru nebo na webu Apple se soubory ke stažení.

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

Safari 3.1.2 pro Windows

Safari

CVE-ID: CVE-2008-1573

K dispozici pro: Windows XP nebo Vista

Dopad: Zobrazení škodlivého obrázku BMP nebo GIF může vést k prozrazení informací.

Popis: Při manipulaci s obrázky BMP a GIF může dojít ke čtení paměti mimo rozsah, což může vést k prozrazení obsahu paměti. Aktualizace tento problém řeší provedením dodatečného ověření obrázků BMP a GIF. Tento problém je vyřešen v systémech s Mac OS X 10.5.3 a v Mac OS X 10.4.11 s bezpečnostní aktualizací 2008-003. Poděkování zaslouží Gynvael Coldwind z týmu Hispasec za nahlášení tohoto problému.

Safari

CVE-ID: CVE-2008-2540

K dispozici pro: Windows XP nebo Vista

Dopad: Ukládání nedůvěryhodných souborů na plochu systému Windows může vést ke spuštění libovolného kódu.

Popis: Při zpracovávání spustitelných souborů na ploše systému Windows dochází k problému. Uložení nedůvěryhodného souboru na plochu systému Windows může vyvolat problém a vést ke spuštění libovolného kódu. Webové prohlížeče představují způsob, jak soubory ukládat na plochu. Pro zmírnění tohoto problému byl prohlížeč Safari aktualizován tak, aby uživateli před uložením staženého souboru zobrazil výzvu. Výchozí umístění stažených souborů se dále změní na složku Stažené soubory uživatele v systému Windows Vista a na složku Dokumenty uživatele v systému Windows XP. Tento problém se nevyskytuje v systémech s Mac OS X. Další informace jsou k dispozici na adrese http://www.microsoft.com/technet/security/advisory/953818.mspx. Poděkování zaslouží Aviv Raff za nahlášení tohoto problému.

Safari

CVE-ID: CVE-2008-2306

K dispozici pro: Windows XP nebo Vista

Dopad: Návštěva škodlivého webu, který se nachází v důvěryhodné zóně aplikace Internet Explorer, může vést k automatickému spuštění libovolného kódu.

Popis: Pokud se web nachází v zóně aplikace Internet Explorer 7 s možností „Spouštění aplikací a nebezpečných souborů“ nastavenou na „Povolit“ nebo pokud je web v zóně „Místní intranet“ nebo „Důvěryhodné weby“ aplikace Internet Explorer 6, Safari automaticky spustí spustitelné soubory, které jsou staženy z tohoto webu. Aktualizace tento problém řeší tím, že automaticky nespouští stažené spustitelné soubory a před stažením souboru zobrazí výzvu, pokud je povoleno nastavení „Vždy zobrazit výzvu“. Tento problém se nevyskytuje v systémech s Mac OS X. Poděkování zaslouží Will Dormann z týmu CERT/CC za nahlášení problému. Děkujeme centru Microsoft Security Response Center za společné úsilí při řešení tohoto problému.

WebKit

CVE-ID: CVE-2008-2307

K dispozici pro: Windows XP nebo Vista

Dopad: Návštěva škodlivého webu mohla vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

Popis: Při zpracovávání polí JavaScriptu WebKitem dochází k problému s poškozením paměti. Návštěva škodlivého webu mohla vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Aktualizace tento problém řeší vylepšením kontroly rozsahu. Poděkování zaslouží James Urquhart za nahlášení tohoto problému.