Informace o bezpečnostním obsahu Safari 4.0.5.

Tento dokument popisuje bezpečnostní obsah Safari 4.0.5.

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

Safari 5.0.4

  • ColorSync

    CVE-ID: CVE-2010-0040

    K dispozici pro: Windows 7, Vista, XP

    Dopad: Zobrazení škodlivého souboru obrázku s vloženým barevným profilem může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu.

    Popis: Při zpracovávání obrázků s vloženým barevným profilem dochází k přetečení celého čísla, což může vést k přetečení vyrovnávací paměti haldy. Zobrazení škodlivého souboru obrázku s vloženým barevným profilem může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu. Tento problém byl vyřešen dodatečným ověřením barevných profilů. Tento problém se netýká systémů Mac OS X. Poděkování za nahlášení problému zaslouží Sebastien Renaud z týmu VUPEN Vulnerability Research Team.

  • ImageIO

    CVE-ID: CVE-2009-2285

    K dispozici pro: Windows 7, Vista, XP

    Dopad: Zobrazení škodlivého obrázku TIFF mohlo vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Při zpracovávání obrázků TIFF v nástroji ImageIO dochází k podtečení vyrovnávací paměti. Zobrazení škodlivého obrázku TIFF může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen vylepšením kontroly rozsahu. U systémů Mac OS X v10.6 je tento problém vyřešen ve verzi Mac OS X v10.6.2. U systémů Mac OS X v10.5 je tento problém vyřešen v bezpečnostní aktualizaci 2010-001.

  • ImageIO

    CVE-ID: CVE-2010-0041

    K dispozici pro: Windows 7, Vista, XP

    Dopad: Návštěva škodlivého webu může vést k odeslání dat z paměti Safari na web.

    Popis: Při zpracovávání obrázků BMP v nástroji ImageIO dochází k problému s neinicializovaným přístupem k paměti. Návštěva škodlivého webu může vést k odeslání dat z paměti Safari na web. Problém byl vyřešen vylepšením správy paměti a dodatečným ověřováním obrázků BMP. Poděkování za nahlášení problému zaslouží Matthew 'j00ru' Jurczyk z týmu Hispasec.

  • ImageIO

    CVE-ID: CVE-2010-0042

    K dispozici pro: Windows 7, Vista, XP

    Dopad: Návštěva škodlivého webu může vést k odeslání dat z paměti Safari na web.

    Popis: Při zpracovávání obrázků TIFF v nástroji ImageIO dochází k problému s neinicializovaným přístupem k paměti. Návštěva škodlivého webu může vést k odeslání dat z paměti Safari na web. Problém byl vyřešen vylepšením správy paměti a dodatečným ověřováním obrázků TIFF. Poděkování za nahlášení problému zaslouží Matthew 'j00ru' Jurczyk z týmu Hispasec.

  • ImageIO

    CVE-ID: CVE-2010-0043

    K dispozici pro: Windows 7, Vista, XP

    Dopad: Zpracování škodlivého obrázku TIFF mohlo vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Při zpracovávání obrázků TIFF dochází k poškození paměti. Zpracování škodlivého obrázku TIFF může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen vylepšením správy paměti. Poděkování za nahlášení problému zaslouží Gus Mueller ze společnosti Flying Meat.

  • PubSub

    CVE-ID: CVE-2010-0044

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 a novější, Mac OS X Server v10.6.1 a novější, Windows 7, Vista, XP

    Dopad: Návštěva nebo aktualizace kanálu může způsobit nastavení souboru cookie, i když je Safari nastaveno na blokování těchto souborů.

    Popis: Při zpracování souborů cookies nastavených kanály RSS a atomů dochází k problému s implementací. Návštěva nebo aktualizace kanálu může způsobit nastavení souboru cookie, i když je Safari nastaveno na blokování těchto souborů pomocí předvolby pro přijetí souborů cookie. Aktualizace problém řeší respektováním předvolby při aktualizaci nebo zobrazení kanálů.

  • Safari

    CVE-ID: CVE-2010-0045

    K dispozici pro: Windows 7, Vista, XP

    Dopad: Návštěva škodlivého webu může vést ke spuštění libovolného kódu.

    Popis: Problém při zpracování schémat externích adres URL v Safari může způsobit otevření místního souboru v reakci na adresu URL zjištěnou na webové stránce. Návštěva škodlivého webu může vést ke spuštění libovolného kódu. Aktualizace problém řeší vylepšením ověřování externích adres URL. Tento problém se netýká systémů Mac OS X. Poděkování za nahlášení problému zaslouží Billy Rios a Microsoft Vulnerability Research (MSVR).

  • WebKit

    CVE-ID: CVE-2010-0046

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 a novější, Mac OS X Server v10.6.1 a novější, Windows 7, Vista, XP

    Dopad: Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Při zpracování argumentů CSS format() WebKitem dochází k problému s poškozením paměti. Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém je vyřešen vylepšením zpracování argumentů CSS format(). Poděkování za nahlášení problému zaslouží Robert Swiecki ze společnosti Google Inc.

  • WebKit

    CVE-ID: CVE-2010-0047

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 a novější, Mac OS X Server v10.6.1 a novější, Windows 7, Vista, XP

    Dopad: Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Při zpracování obsahu zpětného volání prvků objektů HTML dochází k problému s použitím paměti po uvolnění. Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen vylepšením sledování referencí paměti. Poděkování za nahlášení problému zaslouží team509 ve spolupráci s iniciativou Zero Day Initiative společnosti TippingPoint.

  • WebKit

    CVE-ID: CVE-2010-0048

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 a novější, Mac OS X Server v10.6.1 a novější, Windows 7, Vista, XP

    Dopad: Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Při parsování dokumentů XML WebKitem dochází k problému s použitím paměti po uvolnění. Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen vylepšením sledování referencí paměti. Poděkování za nahlášení problému zaslouží team509 ve spolupráci s iniciativou Zero Day Initiative společnosti TippingPoint.

  • WebKit

    CVE-ID: CVE-2010-0049

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 a novější, Mac OS X Server v10.6.1 a novější, Windows 7, Vista, XP

    Dopad: Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Při zpracování prvků HTML obsahujících text zobrazený zprava doleva dochází k problému s použitím paměti po uvolnění. Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen vylepšením sledování referencí paměti. Oznámení tohoto problému je zásluhou wushiho z týmu team509 spolupracujícího se Zero Day Initiative společnosti TippingPoint.

  • WebKit

    CVE-ID: CVE-2010-0050

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 a novější, Mac OS X Server v10.6.1 a novější, Windows 7, Vista, XP

    Dopad: Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Při zpracování nesprávně vnořených značek HTML WebKitem dochází k problému s použitím paměti po uvolnění. Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen vylepšením sledování referencí paměti. Oznámení tohoto problému je zásluhou wushiho z týmu team509 spolupracujícího se Zero Day Initiative společnosti TippingPoint.

  • WebKit

    CVE-ID: CVE-2010-0051

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 a novější, Mac OS X Server v10.6.1 a novější, Windows 7, Vista, XP

    Dopad: Návštěva škodlivého webu může vést ke zveřejnění citlivých informací.

    Popis: Při zpracování požadavků šablon stylů z různých zdrojů WebKitem dochází k problému s implementací. Návštěva škodlivého webu může zveřejnit obsah chráněných prostředků na jiném webu. Aktualizace problém řeší dodatečným ověřením šablon stylů načítaných během požadavků z různých zdrojů.

  • WebKit

    CVE-ID: CVE-2010-0052

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 a novější, Mac OS X Server v10.6.1 a novější, Windows 7, Vista, XP

    Dopad: Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Při zpracování zpětných volání pro prvky HTML WebKitem dochází k problému s použitím paměti po uvolnění. Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen vylepšením sledování referencí paměti. Problém odhalil Apple.

  • WebKit

    CVE-ID: CVE-2010-0053

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 a novější, Mac OS X Server v10.6.1 a novější, Windows 7, Vista, XP

    Dopad: Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Při vykreslení obsahu s vlastností zobrazení CSS nastavenou na „run-in“ dochází k problému s použitím paměti po uvolnění. Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen vylepšením sledování referencí paměti. Oznámení tohoto problému je zásluhou wushiho z týmu team509 spolupracujícího se Zero Day Initiative společnosti TippingPoint.

  • WebKit

    CVE-ID: CVE-2010-0054

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 a novější, Mac OS X Server v10.6.1 a novější, Windows 7, Vista, XP

    Dopad: Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Při zpracování prvků obrázků HTML WebKitem dochází k problému s použitím paměti po uvolnění. Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen vylepšením sledování referencí paměti. Problém odhalil Apple.

Důležité: Informace o produktech, které společnost Apple nevyrábí, jsou poskytovány pouze pro informační účely a nepředstavují doporučení ani podporu společnosti Apple. Pro získání dalších informací kontaktujte dodavatele.

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.

Datum zveřejnění: