Πληροφορίες για το περιεχόμενο ασφάλειας του Safari 5.0.1 και του Safari 4.1.1

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του Safari 5.0.1 και του Safari 4.1.1.

H Apple, για λόγους προστασίας των πελατών της, δεν αποκαλύπτει, δεν συζητά ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.

Για περισσότερες πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο «Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple».

Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE για την αναφορά σε συγκεκριμένες ευπάθειες, με στόχο την περαιτέρω πληροφόρηση.

Για να ενημερωθείτε σχετικά με άλλες Ενημερώσεις ασφάλειας, ανατρέξτε στο άρθρο «Ενημερώσεις ασφάλειας Apple».

Safari 5.0.1 και Safari 4.1.1

  • Safari

    • CVE-ID: CVE-2010-1778

    • Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ή νεότερη έκδοση, Mac OS X Server v10.6.2 ή νεότερη έκδοση, Windows 7, Vista, XP SP2 ή νεότερη έκδοση

    • Αποτέλεσμα: Η πρόσβαση σε κακόβουλη τροφοδοσία RSS ενδέχεται να έχει ως αποτέλεσμα την αποστολή αρχείων από το σύστημα του χρήστη σε έναν απομακρυσμένο διακομιστή

    • Περιγραφή: Υπάρχει ένα πρόβλημα διατοποθεσιακής εκτέλεσης σεναρίου στον χειρισμό τροφοδοσιών RSS από το Safari. Η πρόσβαση σε κακόβουλη τροφοδοσία RSS ενδέχεται να έχει ως αποτέλεσμα την αποστολή αρχείων από το σύστημα του χρήστη σε έναν απομακρυσμένο διακομιστή. Αυτό το πρόβλημα αντιμετωπίζεται μέσω βελτιωμένου χειρισμού των τροφοδοσιών RSS. Ευχαριστούμε τον Billy Rios της ομάδας Google Security Team για την αναφορά αυτού του προβλήματος.

  • Safari

    • CVE-ID: CVE-2010-1796

    • Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ή νεότερη έκδοση, Mac OS X Server v10.6.2 ή νεότερη έκδοση, Windows 7, Vista, XP SP2 ή νεότερη έκδοση

    • Αποτέλεσμα: Η λειτουργία Αυτοσυμπλήρωση του Safari μπορεί να αποκαλύψει πληροφορίες σε ιστότοπους χωρίς αλληλεπίδραση του χρήστη

    • Περιγραφή: Η λειτουργία Αυτοσυμπλήρωση του Safari μπορεί να συμπληρώσει αυτόματα φόρμες Ιστού χρησιμοποιώντας πληροφορίες που καθορίζονται στο Βιβλίο διευθύνσεων του Mac OS X, στο Outlook ή στο Βιβλίο διευθύνσεων των Windows. Εκ της σχεδίασης, απαιτείται ενέργεια χρήστη για να λειτουργήσει η δυνατότητα Αυτοσυμπλήρωση εντός μιας φόρμας Ιστού. Υπάρχει ένα πρόβλημα υλοποίησης που επιτρέπει σε έναν κακόβουλο ιστότοπο να ενεργοποιήσει τη λειτουργία Αυτοσυμπλήρωση χωρίς αλληλεπίδραση του χρήστη. Αυτό μπορεί να έχει ως αποτέλεσμα την αποκάλυψη πληροφοριών που περιέχονται στην Κάρτα βιβλίου διευθύνσεων του χρήστη. Για να εμφανιστεί το πρόβλημα, απαιτούνται οι ακόλουθες δύο περιστάσεις. Πρώτον, στις Προτιμήσεις Safari, κάτω από τη λειτουργία Αυτοσυμπλήρωση, πρέπει να επιλέξετε το πλαίσιο ελέγχου «Αυτοσυμπλήρωση φορμών Ιστού με στοιχεία από την κάρτα Βιβλίου διευθύνσεων». Δεύτερον, το Βιβλίο διευθύνσεων του χρήστη πρέπει να έχει μια Κάρτα που προσδιορίζεται ως «Η κάρτα μου». Μόνο οι πληροφορίες στη συγκεκριμένη κάρτα προσπελάζονται μέσω της Αυτοσυμπλήρωσης. Αυτό το πρόβλημα αντιμετωπίστηκε απαγορεύοντας στην Αυτοσυμπλήρωση να χρησιμοποιεί πληροφορίες χωρίς ενέργεια του χρήστη. Οι συσκευές iOS δεν επηρεάζονται. Ευχαριστούμε τον Jeremiah Grossman της WhiteHat Security για την αναφορά αυτού του προβλήματος.

  • WebKit

    • CVE-ID: CVE-2010-1780

    • Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ή νεότερη έκδοση, Mac OS X Server v10.6.2 ή νεότερη έκδοση, Windows 7, Vista, XP SP2 ή νεότερη έκδοση

    • Αποτέλεσμα: Η επίσκεψη σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

    • Περιγραφή: Υπάρχει ένα πρόβλημα τύπου «use after free» στον χειρισμό της εστίασης σε στοιχεία από το WebKit. Η μετάβαση σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίζεται μέσω βελτιωμένου χειρισμού της εστίασης σε στοιχεία. Ευχαριστούμε τον Tony Chang της Google, Inc. για την αναφορά αυτού του προβλήματος.

  • WebKit

    • CVE-ID: CVE-2010-1782

    • Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ή νεότερη έκδοση, Mac OS X Server v10.6.2 ή νεότερη έκδοση, Windows 7, Vista, XP SP2 ή νεότερη έκδοση

    • Αποτέλεσμα: Η επίσκεψη σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

    • Περιγραφή: Υπάρχει ένα πρόβλημα αλλοίωσης της μνήμης στην απόδοση των ενσωματωμένων στοιχείων από το WebKit. Η μετάβαση σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίζεται με βελτιωμένο έλεγχο ορίων. Ευχαριστούμε τον wushi της team509 για την αναφορά αυτού του προβλήματος.

  • WebKit

    • CVE-ID: CVE-2010-1783

    • Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ή νεότερη έκδοση, Mac OS X Server v10.6.2 ή νεότερη έκδοση, Windows 7, Vista, XP SP2 ή νεότερη έκδοση

    • Αποτέλεσμα: Η επίσκεψη σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

    • Περιγραφή: Υπάρχει πρόβλημα αλλοίωσης της μνήμης στον χειρισμό δυναμικών τροποποιήσεων σε κόμβους κειμένου από το WebKit. Η μετάβαση σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτό το ζήτημα αντιμετωπίζεται με βελτιωμένο χειρισμό της μνήμης.

  • WebKit

    • CVE-ID: CVE-2010-1784

    • Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ή νεότερη έκδοση, Mac OS X Server v10.6.2 ή νεότερη έκδοση, Windows 7, Vista, XP SP2 ή νεότερη έκδοση

    • Αποτέλεσμα: Η επίσκεψη σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

    • Περιγραφή: Υπάρχει ένα πρόβλημα αλλοίωσης της μνήμης στον χειρισμό μετρητών CSS από το WebKit. Η μετάβαση σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτό το ζήτημα αντιμετωπίζεται με βελτιωμένο χειρισμό της μνήμης. Ευχαριστούμε τον wushi της team509, που συνεργάστηκε με το πρόγραμμα Zero Day Initiative της TippingPoint για την αναφορά αυτού του προβλήματος.

  • WebKit

    • CVE-ID: CVE-2010-1785

    • Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ή νεότερη έκδοση, Mac OS X Server v10.6.2 ή νεότερη έκδοση, Windows 7, Vista, XP SP2 ή νεότερη έκδοση

    • Αποτέλεσμα: Η επίσκεψη σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

    • Περιγραφή: Υπάρχει ένα πρόβλημα πρόσβασης σε μη αρχικοποιημένη μνήμη στον χειρισμό από το WebKit των ψευδο-στοιχείων :first-letter και :first-line στα στοιχεία κειμένου SVG. Η μετάβαση σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίστηκε με τη μη απόδοση των ψευδο-στοιχείων :first-letter ή :first-line στα στοιχεία κειμένου SVG. Ευχαριστούμε τον wushi της team509, που συνεργάστηκε με το πρόγραμμα Zero Day Initiative της TippingPoint για την αναφορά αυτού του προβλήματος.

  • WebKit

    • CVE-ID: CVE-2010-1786

    • Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ή νεότερη έκδοση, Mac OS X Server v10.6.2 ή νεότερη έκδοση, Windows 7, Vista, XP SP2 ή νεότερη έκδοση

    • Αποτέλεσμα: Η επίσκεψη σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

    • Περιγραφή: Υπάρχει ένα πρόβλημα τύπου «use after free» στον χειρισμό των στοιχείων foreignObject σε έγγραφα SVG από το WebKit. Η μετάβαση σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω πρόσθετης επικύρωσης των εγγράφων SVG. Ευχαριστούμε τον wushi της team509, που συνεργάστηκε με το πρόγραμμα Zero Day Initiative της TippingPoint για την αναφορά αυτού του προβλήματος.

  • WebKit

    • CVE-ID: CVE-2010-1787

    • Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ή νεότερη έκδοση, Mac OS X Server v10.6.2 ή νεότερη έκδοση, Windows 7, Vista, XP SP2 ή νεότερη έκδοση

    • Αποτέλεσμα: Η επίσκεψη σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

    • Περιγραφή: Υπάρχει ένα πρόβλημα αλλοίωσης της μνήμης στον χειρισμό στοιχείων κινητής υποδιαστολής σε έγγραφα SVG από το WebKit. Η μετάβαση σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτό το ζήτημα αντιμετωπίζεται με βελτιωμένο χειρισμό της μνήμης. Ευχαριστούμε τον wushi της team509, που συνεργάστηκε με το πρόγραμμα Zero Day Initiative της TippingPoint για την αναφορά αυτού του προβλήματος.

  • WebKit

    • CVE-ID: CVE-2010-1788

    • Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ή νεότερη έκδοση, Mac OS X Server v10.6.2 ή νεότερη έκδοση, Windows 7, Vista, XP SP2 ή νεότερη έκδοση

    • Αποτέλεσμα: Η επίσκεψη σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

    • Περιγραφή: Υπάρχει ένα πρόβλημα αλλοίωσης της μνήμης στον χειρισμό των στοιχείων 'use' σε έγγραφα SVG από το WebKit. Η μετάβαση σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού των στοιχείων 'use' σε έγγραφα SVG. Ευχαριστούμε τον Justin Schuh της Google, Inc. για την αναφορά αυτού του προβλήματος.

  • WebKit

    • CVE-ID: CVE-2010-1789

    • Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ή νεότερη έκδοση, Mac OS X Server v10.6.2 ή νεότερη έκδοση, Windows 7, Vista, XP SP2 ή νεότερη έκδοση

    • Αποτέλεσμα: Η επίσκεψη σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

    • Περιγραφή: Υπάρχει υπερχείλιση στην προσωρινή μνήμη σωρού στον χειρισμό αντικειμένων συμβολοσειράς JavaScript από το WebKit. Η μετάβαση σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίζεται με βελτιωμένο έλεγχο ορίων. Ευχαριστίες: Apple.

  • WebKit

    • CVE-ID: CVE-2010-1790

    • Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ή νεότερη έκδοση, Mac OS X Server v10.6.2 ή νεότερη έκδοση, Windows 7, Vista, XP SP2 ή νεότερη έκδοση

    • Αποτέλεσμα: Η επίσκεψη σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

    • Περιγραφή: Υπάρχει ένα πρόβλημα επανάληψης εισόδου στον χειρισμό έγκαιρα μεταγλωττισμένων αποσπασμάτων JavaScript από το WebKit. Η μετάβαση σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτό το ζήτημα αντιμετωπίστηκε μέσω βελτιωμένου συγχρονισμού.

  • WebKit

    • CVE-ID: CVE-2010-1791

    • Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ή νεότερη έκδοση, Mac OS X Server v10.6.2 ή νεότερη έκδοση, Windows 7, Vista, XP SP2 ή νεότερη έκδοση

    • Αποτέλεσμα: Η επίσκεψη σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

    • Περιγραφή: Υπάρχει ένα πρόβλημα τύπου «signedness» στον χειρισμό διατάξεων JavaScript από το WebKit. Η μετάβαση σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού των δεικτών διατάξεων JavaScript. Ευχαριστούμε την Natalie Silvanovich για την αναφορά αυτού του προβλήματος.

  • WebKit

    • CVE-ID: CVE-2010-1792

    • Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ή νεότερη έκδοση, Mac OS X Server v10.6.2 ή νεότερη έκδοση, Windows 7, Vista, XP SP2 ή νεότερη έκδοση

    • Αποτέλεσμα: Η επίσκεψη σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

    • Περιγραφή: Υπάρχει ένα πρόβλημα αλλοίωσης της μνήμης στον χειρισμό κανονικών εκφράσεων από το WebKit. Η μετάβαση σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού των κανονικών εκφράσεων. Ευχαριστούμε τον Peter Varga του University of Szeged για την αναφορά αυτού του προβλήματος.

  • WebKit

    • CVE-ID: CVE-2010-1793

    • Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ή νεότερη έκδοση, Mac OS X Server v10.6.2 ή νεότερη έκδοση, Windows 7, Vista, XP SP2 ή νεότερη έκδοση

    • Αποτέλεσμα: Η επίσκεψη σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

    • Περιγραφή: Υπάρχει ένα πρόβλημα τύπου «use after free» στον χειρισμό των στοιχείων «font-face» και «use» σε έγγραφα SVG από το WebKit. Η μετάβαση σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού των στοιχείων «font-face» και «use» σε έγγραφα SVG. Ευχαριστούμε τον Aki Helin της OUSPG για την αναφορά αυτού του προβλήματος.

Σημαντικό: Η αναφορά ιστότοπων και προϊόντων τρίτων προορίζεται μόνο για ενημερωτικούς σκοπούς και δεν συνιστά ούτε έγκριση ούτε σύσταση. Η Apple δεν φέρει καμία ευθύνη όσον αφορά την επιλογή, την απόδοση ή τη χρήση πληροφοριών ή προϊόντων που βρίσκονται σε ιστότοπους τρίτων. Η Apple το παρέχει μόνο για διευκόλυνση των χρηστών μας. Η Apple δεν έχει ελέγξει τις πληροφορίες που βρίσκονται σε αυτούς τους ιστότοπους και δεν προβαίνει σε καμία δήλωση σχετικά με την ακρίβεια ή την αξιοπιστία τους. Υπάρχουν κίνδυνοι που συνδέονται με τη χρήση οποιωνδήποτε πληροφοριών ή προϊόντων που βρίσκονται στο διαδίκτυο και η Apple δεν αναλαμβάνει καμία ευθύνη ως προς αυτό. Πρέπει να κατανοήσετε ότι ένας ιστότοπος τρίτου μέρους είναι ανεξάρτητος από την Apple και ότι η Apple δεν έχει κανέναν έλεγχο επί του περιεχομένου σε αυτόν τον ιστότοπο. Επικοινωνήστε με τον προμηθευτή για πρόσθετες πληροφορίες.

Ημερομηνία δημοσίευσης: