Informace o bezpečnostním obsahu Safari 5.0.1 a Safari 4.1.1

Tento dokument uvádí informace o bezpečnostním obsahu Safari 5.0.1 a Safari 4.1.1.

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

Safari 5.0.1 a Safari 4.1.1

  • Safari

    • CVE-ID: CVE-2010-1778

    • K dispozici pro systémy: Mac OS X verze 10.4.11, Mac OS X Server verze 10.4.11, Mac OS X verze 10.5.8, Mac OS X Server verze 10.5.8, Mac OS X verze 10.6.2 nebo novější, Mac OS X Server verze 10.6.2 nebo novější, Windows 7, Vista, XP SP2 nebo novější

    • Dopad: Přístup ke škodlivému kanálu RSS může způsobit odeslání souborů ze systému uživatele na vzdálený server.

    • Popis: V aplikaci Safari dochází k problému se skriptováním napříč weby při zpracování kanálů RSS. Přístup ke škodlivému kanálu RSS může způsobit odeslání souborů ze systému uživatele na vzdálený server. Problém byl vyřešen prostřednictvím zlepšení zpracování kanálů RSS. Za nahlášení problému děkujeme Billymu Riosovi z týmu Google Security Team.

  • Safari

    • CVE-ID: CVE-2010-1796

    • K dispozici pro systémy: Mac OS X verze 10.4.11, Mac OS X Server verze 10.4.11, Mac OS X verze 10.5.8, Mac OS X Server verze 10.5.8, Mac OS X verze 10.6.2 nebo novější, Mac OS X Server verze 10.6.2 nebo novější, Windows 7, Vista, XP SP2 nebo novější

    • Dopad: Funkce automatického vyplňování aplikace Safari může webům odhalit informace bez zásahu uživatele.

    • Popis: Funkce automatického vyplňování aplikace Safari může automaticky vyplňovat webové formuláře s použitím vyhrazených informací v adresáři systému Mac OS X, aplikaci Outlook nebo v adresáři systému Windows. Ve výchozím nastavení vyžaduje vyplnění webového formuláře pomocí funkce automatického vyplňování zásah uživatele. Vyskytuje se problém implementace, který umožňuje škodlivému webu spustit funkci automatického vyplňování bez zásahu uživatele. To může vést k odhalení informací obsažených na vizitce z adresáře uživatele. Spuštění problému je podmíněno dvěma situacemi. Za prvé, v nabídce Předvolby aplikace Safari pod položkou Vyplňování, musí být zaškrtnuto políčko „Autofill web forms using info from my Address Book card“ (Automaticky vyplňovat webového formuláře informacemi z mé vizitky adresáře). Za druhé, adresář uživatele musí obsahovat kartu označenou jako „Moje vizitka“. Funkce automatického vyplňování přistupuje pouze k informacím na této konkrétní vizitce. Problém byl vyřešen zákazem používání informací ve funkci automatického vyplňování bez zásahu uživatele. Zařízení se systémem iOS se to netýká. Za nahlášení problému děkujeme Jeremiahu Grossmanovi z WhiteHat Security.

  • WebKit

    • CVE-ID: CVE-2010-1780

    • K dispozici pro systémy: Mac OS X verze 10.4.11, Mac OS X Server verze 10.4.11, Mac OS X verze 10.5.8, Mac OS X Server verze 10.5.8, Mac OS X verze 10.6.2 nebo novější, Mac OS X Server verze 10.6.2 nebo novější, Windows 7, Vista, XP SP2 nebo novější

    • Dopad: Návštěva škodlivého webu mohla vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu

    • Popis: Při zpracování zaměření prvků WebKitem dochází k problému s použitím paměti po uvolnění. Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen prostřednictvím zlepšení zpracování zaměření prvků. Za nahlášení problému děkujeme Tonymu Changovi ze společnosti Google, Inc.

  • WebKit

    • CVE-ID: CVE-2010-1782

    • K dispozici pro systémy: Mac OS X verze 10.4.11, Mac OS X Server verze 10.4.11, Mac OS X verze 10.5.8, Mac OS X Server verze 10.5.8, Mac OS X verze 10.6.2 nebo novější, Mac OS X Server verze 10.6.2 nebo novější, Windows 7, Vista, XP SP2 nebo novější

    • Dopad: Návštěva škodlivého webu mohla vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu

    • Popis: Při vykreslování vřazených prvků WebKitem dochází k problému s narušením paměti. Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen vylepšením kontroly rozsahu. Za nahlášení problému děkujeme uživateli wushi z týmu team509.

  • WebKit

    • CVE-ID: CVE-2010-1783

    • K dispozici pro systémy: Mac OS X verze 10.4.11, Mac OS X Server verze 10.4.11, Mac OS X verze 10.5.8, Mac OS X Server verze 10.5.8, Mac OS X verze 10.6.2 nebo novější, Mac OS X Server verze 10.6.2 nebo novější, Windows 7, Vista, XP SP2 nebo novější

    • Dopad: Návštěva škodlivého webu mohla vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu

    • Popis: Při zpracování dynamických úprav textových uzlů WebKitem dochází k problému s narušením paměti. Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen vylepšením správy paměti.

  • WebKit

    • CVE-ID: CVE-2010-1784

    • K dispozici pro systémy: Mac OS X verze 10.4.11, Mac OS X Server verze 10.4.11, Mac OS X verze 10.5.8, Mac OS X Server verze 10.5.8, Mac OS X verze 10.6.2 nebo novější, Mac OS X Server verze 10.6.2 nebo novější, Windows 7, Vista, XP SP2 nebo novější

    • Dopad: Návštěva škodlivého webu mohla vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu

    • Popis: Při zpracování počitadel CSS WebKitem dochází k problému s narušením paměti. Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen vylepšením správy paměti. Oznámení tohoto problému je zásluhou wushiho z týmu team509 spolupracujícího se Zero Day Initiative společnosti TippingPoint.

  • WebKit

    • CVE-ID: CVE-2010-1785

    • K dispozici pro systémy: Mac OS X verze 10.4.11, Mac OS X Server verze 10.4.11, Mac OS X verze 10.5.8, Mac OS X Server verze 10.5.8, Mac OS X verze 10.6.2 nebo novější, Mac OS X Server verze 10.6.2 nebo novější, Windows 7, Vista, XP SP2 nebo novější

    • Dopad: Návštěva škodlivého webu mohla vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu

    • Popis: Při zpracování pseudo-prvků :first-letter a :first-line WebKitem v prvcích SVG textu dochází k problému s přístupem k paměti bez inicializace. Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen nevykreslováním pseudo-prvků first-letter nebo :first-line v textových prvcích SVG. Oznámení tohoto problému je zásluhou wushiho z týmu team509 spolupracujícího se Zero Day Initiative společnosti TippingPoint.

  • WebKit

    • CVE-ID: CVE-2010-1786

    • K dispozici pro systémy: Mac OS X verze 10.4.11, Mac OS X Server verze 10.4.11, Mac OS X verze 10.5.8, Mac OS X Server verze 10.5.8, Mac OS X verze 10.6.2 nebo novější, Mac OS X Server verze 10.6.2 nebo novější, Windows 7, Vista, XP SP2 nebo novější

    • Dopad: Návštěva škodlivého webu mohla vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu

    • Popis: Při zpracování prvků foreignObject WebKitem v dokumentech SVG dochází k problému s použitím paměti po uvolnění. Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen dalším ověřování dokumentů SVG. Oznámení tohoto problému je zásluhou wushiho z týmu team509 spolupracujícího se Zero Day Initiative společnosti TippingPoint.

  • WebKit

    • CVE-ID: CVE-2010-1787

    • K dispozici pro systémy: Mac OS X verze 10.4.11, Mac OS X Server verze 10.4.11, Mac OS X verze 10.5.8, Mac OS X Server verze 10.5.8, Mac OS X verze 10.6.2 nebo novější, Mac OS X Server verze 10.6.2 nebo novější, Windows 7, Vista, XP SP2 nebo novější

    • Dopad: Návštěva škodlivého webu mohla vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu

    • Popis: Při zpracování plovoucích prvků WebKitem v dokumentech SVG dochází k problému s narušením paměti. Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen vylepšením správy paměti. Oznámení tohoto problému je zásluhou wushiho z týmu team509 spolupracujícího se Zero Day Initiative společnosti TippingPoint.

  • WebKit

    • CVE-ID: CVE-2010-1788

    • K dispozici pro systémy: Mac OS X verze 10.4.11, Mac OS X Server verze 10.4.11, Mac OS X verze 10.5.8, Mac OS X Server verze 10.5.8, Mac OS X verze 10.6.2 nebo novější, Mac OS X Server verze 10.6.2 nebo novější, Windows 7, Vista, XP SP2 nebo novější

    • Dopad: Návštěva škodlivého webu mohla vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu

    • Popis: Při zpracování prvků „use“ WebKitem v dokumentech SVG dochází k problému s použitím paměti po uvolnění. Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen lepším zpracováním prvků „use“ v dokumentech SVG. Za nahlášení problému děkujeme Justinu Schuhovi ze společnosti Google, Inc.

  • WebKit

    • CVE-ID: CVE-2010-1789

    • K dispozici pro systémy: Mac OS X verze 10.4.11, Mac OS X Server verze 10.4.11, Mac OS X verze 10.5.8, Mac OS X Server verze 10.5.8, Mac OS X verze 10.6.2 nebo novější, Mac OS X Server verze 10.6.2 nebo novější, Windows 7, Vista, XP SP2 nebo novější

    • Dopad: Návštěva škodlivého webu mohla vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu

    • Popis: Při zpracování objektů řetězců JavaScript WebKitem dochází k přetečení vyrovnávací paměti haldy. Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen vylepšením kontroly rozsahu. Problém odhalil Apple.

  • WebKit

    • CVE-ID: CVE-2010-1790

    • K dispozici pro systémy: Mac OS X verze 10.4.11, Mac OS X Server verze 10.4.11, Mac OS X verze 10.5.8, Mac OS X Server verze 10.5.8, Mac OS X verze 10.6.2 nebo novější, Mac OS X Server verze 10.6.2 nebo novější, Windows 7, Vista, XP SP2 nebo novější

    • Dopad: Návštěva škodlivého webu mohla vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu

    • Popis: Při zpracování souhrnů just-in-time stubů JavaScript dochází k problému s opakovaným vstupem. Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen zlepšením synchronizace.

  • WebKit

    • CVE-ID: CVE-2010-1791

    • K dispozici pro systémy: Mac OS X verze 10.4.11, Mac OS X Server verze 10.4.11, Mac OS X verze 10.5.8, Mac OS X Server verze 10.5.8, Mac OS X verze 10.6.2 nebo novější, Mac OS X Server verze 10.6.2 nebo novější, Windows 7, Vista, XP SP2 nebo novější

    • Dopad: Návštěva škodlivého webu mohla vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu

    • Popis: Při zpracování polí JavaScript WebKitem dochází k problému s podpisy. Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen zlepšením zpracování indicií polí JavaScript. Za nahlášení problému děkujeme Natalie Silvanovich.

  • WebKit

    • CVE-ID: CVE-2010-1792

    • K dispozici pro systémy: Mac OS X verze 10.4.11, Mac OS X Server verze 10.4.11, Mac OS X verze 10.5.8, Mac OS X Server verze 10.5.8, Mac OS X verze 10.6.2 nebo novější, Mac OS X Server verze 10.6.2 nebo novější, Windows 7, Vista, XP SP2 nebo novější

    • Dopad: Návštěva škodlivého webu mohla vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu

    • Popis: Při zpracování regulárních výrazů WebKitem dochází k problému s narušením paměti. Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen zlepšením zpracování regulárních výrazů. Za nahlášení problému děkujeme Petu Vargovi z Univerzity v Szegedu.

  • WebKit

    • CVE-ID: CVE-2010-1793

    • K dispozici pro systémy: Mac OS X verze 10.4.11, Mac OS X Server verze 10.4.11, Mac OS X verze 10.5.8, Mac OS X Server verze 10.5.8, Mac OS X verze 10.6.2 nebo novější, Mac OS X Server verze 10.6.2 nebo novější, Windows 7, Vista, XP SP2 nebo novější

    • Dopad: Návštěva škodlivého webu mohla vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu

    • Popis: Při zpracování prvků „font-face“ a „use“ WebKitem v dokumentech SVG dochází k problému s použitím paměti po uvolnění. Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen zlepšením zpracování prvků „font-face“ a „use“ WebKitem v dokumentech SVG. Za nahlášení problému děkujeme Akimu Helinovi ze společnosti OUSPG.

Důležité: Zmínky o webových stránkách a produktech třetích stran slouží pouze k informačním účelům a nepředstavují žádnou podporu ani žádné doporučení. Společnost Apple nenese žádnou odpovědnost za výběr, výkon nebo používání informací nebo produktů nalezených na webových stránkách třetích stran. Apple tyto informace poskytuje pouze pro zajištění pohodlí našim uživatelům. Společnost Apple netestovala informace nalezené na těchto stránkách a nečiní žádná prohlášení ohledně jejich přesnosti nebo spolehlivosti. Existují rizika spojená s používáním jakýchkoli informací nebo produktů nalezených na internetu a společnost Apple v tomto ohledu nenese žádnou odpovědnost. Vezměte na vědomí, že weby třetích stran jsou nezávislé na společnosti Apple a že společnost Apple nemá kontrolu nad obsahem takových webů. Pro získání dalších informací kontaktujte dodavatele.

Datum zveřejnění: