Informace o bezpečnostním obsahu Safari 4.0.4

Tento dokument popisuje bezpečnostní obsah Safari 4.0.4.

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

Safari 4.0.4

  • ColorSync

    CVE-ID: CVE-2009-2804

    K dispozici pro: Windows 7, Vista, XP

    Dopad: Zobrazení škodlivého souboru obrázku s vloženým barevným profilem může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu.

    Popis: Při zpracovávání obrázků s vloženým barevným profilem dochází k přetečení celého čísla, což může vést k přetečení vyrovnávací paměti haldy. Zobrazení škodlivého souboru obrázku s vloženým barevným profilem může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu. Tento problém byl vyřešen dodatečným ověřením barevných profilů. Tento problém se netýká systémů Mac OS X v10.6. Problém byl již vyřešen v bezpečnostní aktualizaci 2009-005 pro systémy Mac OS X 10.5.8. Problém odhalil Apple.

  • libxml

    CVE-ID: CVE-2009-2414, CVE-2009-2416

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Windows 7, Vista, XP

    Dopad: Parsování škodlivého obsahu XML může vést k neočekávanému ukončení aplikace.

    Popis: V libxml2 existuje několik problémů s použitím paměti po uvolnění. Nejzávažnější z nich může vést k neočekávanému ukončení aplikace. Aktualizace tyto problémy řeší vylepšením správy paměti. Problémy byly již vyřešeny v Mac OS X 10.6.2 a v bezpečnostní aktualizaci 2009-006 pro systémy Mac OS X 10.5.8.

  • Safari

    CVE-ID: CVE-2009-2842

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 a v10.6.2, Mac OS X Server v10.6.1 a v10.6.2, Windows 7, Vista, XP

    Dopad: Používání možností nabídky zkratek na škodlivém webu může vést ke zveřejnění místních informací.

    Popis: Při zpracovávání navigačních příkazů v Safari iniciovaných pomocí možností nabídky zkratek „Otevřít obrázek na novém panelu“, „Otevřít obrázek v novém okně“ nebo „Otevřít odkaz na novém panelu“ dochází k problému. Použití těchto možností na škodlivém webu by mohlo vést k nahrání místního souboru HTML a následně ke zveřejnění citlivých informací. Problém byl vyřešen zakázáním uvedených možností nabídky zkratek, pokud je cílem odkazu místní soubor.

  • WebKit

    CVE-ID: CVE-2009-2816

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 a v10.6.2, Mac OS X Server v10.6.1 a v10.6.2, Windows 7, Vista, XP

    Dopad: Návštěva škodlivého webu může mít za následek neočekávané akce na jiných webech.

    Popis: V implementaci Cross-Origin Resource Sharing WebKitu dochází k problému. Před tím, než WebKit povolí stránce z jednoho zdroje přístup k prostředku v jiném zdroji, odešle druhému serveru předběžný požadavek na přístup k prostředku. Do tohoto požadavku zahrne WebKit vlastní hlavičky HTTP určené požadující stránkou. Tato akce může umožnit padělání požadavku napříč weby. Tento problém byl vyřešen odstraněním vlastních hlaviček HTTP z předběžných požadavků. Problém odhalil Apple.

  • WebKit

    CVE-ID: CVE-2009-3384

    K dispozici pro: Windows 7, Vista, XP

    Dopad: Přístup na škodlivý FTP server by mohl mít za následek neočekávané ukončení aplikace, zveřejnění informací nebo spuštění libovolného kódu.

    Popis: Při zpracování výpisů adresáře FTP WebKitem existuje několik bezpečnostních slabin. Přístup na škodlivý FTP server by mohl mít za následek neočekávané ukončení aplikace, zveřejnění informací nebo spuštění libovolného kódu. Aktualizace problémy řeší vylepšeným parsováním výpisů adresáře FTP. Tyto problémy se netýkají prohlížeče Safari v systémech Mac OS X. Poděkování za nahlášení problémů zaslouží Michal Zalewski ze společnosti Google Inc.

  • WebKit

    CVE-ID: CVE-2009-2841

    K dispozici pro Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 a v10.6.2, Mac OS X Server v10.6.1 a v10.6.2

    Dopad: Pokud je zakázáno načítání vzdálených obrázků, může aplikace Mail načíst vzdálený zvukový obsah nebo videoobsah.

    Popis: Když WebKit zjistí prvek médií HTML 5 ukazující na externí prostředek, nevyvolá zpětné volání načtení prostředku za účelem stanovení, zda by měl být prostředek načten. Výsledkem mohou být nežádoucí požadavky na vzdálené servery. Odesílatel e-mailové zprávy ve formátu HTML by to například mohl využít k určení, že zpráva byla přečtena. Problém byl vyřešen vygenerováním zpětných volání načtení prostředku, když WebKit zjistí prvek médií HTML 5. Tento problém se netýká prohlížeče Safari v systémech Windows.

Důležité: Informace o produktech, které společnost Apple nevyrábí, jsou poskytovány pouze pro informační účely a nepředstavují doporučení ani podporu společnosti Apple. Pro získání dalších informací kontaktujte dodavatele.

Datum zveřejnění: