Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του Safari 3.2
Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του Safari 3.2.
H Apple, για λόγους προστασίας των πελατών της, δεν αποκαλύπτει, δεν συζητά ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.
Για περισσότερες πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο «Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple».
Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE για την αναφορά σε συγκεκριμένες ευπάθειες, με στόχο την περαιτέρω πληροφόρηση.
Για να μάθετε σχετικά με άλλες ενημερώσεις ασφάλειας, ανατρέξτε στην ενότητα «Ενημερώσεις ασφάλειας Apple».
Safari 3.2
Safari
CVE-ID: CVE-2005-2096
Διατίθεται για: Windows XP ή Vista
Αποτέλεσμα: Πολλές ευπάθειες στο zlib 1.2.2
Περιγραφή: Υπάρχουν πολλές ευπάθειες στο zlib 1.2.2, από τις οποίες οι πιο σοβαρές ενδέχεται να οδηγήσουν σε άρνηση υπηρεσίας. Αυτή η ενημέρωση αντιμετωπιζει τα προβλήματα με ενημέρωση στο zlib 1.2.3. Αυτά τα προβλήματα δεν επηρεάζουν τα συστήματα Mac OS X. Ευχαριστίες στον Robbie Joosten του bioinformatics@school και στον David Gunnells του University of Alabama στο Birmingham για την αναφορά αυτών των προβλημάτων.
Safari
CVE-ID: CVE-2008-1767
Διατίθεται για: Windows XP ή Vista
Αποτέλεσμα: Η επεξεργασία ενός εγγράφου XML ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπάρχει ένα πρόβλημα υπερχείλισης buffer σωρού στη βιβλιοθήκη libxslt. Η προβολή μιας κακόβουλης σελίδας HTML ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα. Περισσότερες πληροφορίες για την ενημέρωση κώδικα που εφαρμόζεται είναι διαθέσιμες μέσω του http://xmlsoft.org/XSLT/ Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα Mac OS X που έχουν εφαρμόσει την Ενημέρωση ασφάλειας 2008-007. Ευχαριστίες στον Anthony de Almeida Lopes της Outpost24 AB και στον Chris Evans της ομάδας Google Security Team για την αναφορά αυτού του προβλήματος.
Safari
CVE-ID: CVE-2008-3623
Διατίθεται για: Windows XP ή Vista
Αποτέλεσμα: Η μετάβαση σε κακόβουλο ιστότοπο ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπάρχει υπερχείλιση buffer σωρού στον χειρισμό από το CoreGraphics των χώρων χρωμάτων. Η προβολή κακόβουλης εικόνας ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένου ελέγχου ορίων. Ευχαριστίες: Apple.
Safari
CVE-ID: CVE-2008-2327
Διατίθεται για: XP ή Vista
Αποτέλεσμα: Η προβολή μιας κακόβουλης εικόνας TIFF μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπάρχουν πολλά προβλήματα πρόσβασης σε μη αρχικοποιημένη μνήμη στον χειρισμό από το libTIFF εικόνων TIFF με κωδικοποίηση LZW. Η προβολή κακόβουλης εικόνας TIFF ενδέχεται να έχει ως αποτέλεσμα τον μη αναμενόμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω της σωστής αρχικοποίησης μνήμης και της πρόσθετης επικύρωσης των εικόνων TIFF. Αυτό το πρόβλημα αντιμετωπίζεται σε συστήματα με Mac OS X v10.5.5 ή νεότερη έκδοση και σε συστήματα Mac OS X v10.4.11 που έχουν εφαρμόσει την Ενημέρωση ασφάλειας 2008-006. Ευχαριστίες: Apple.
Safari
CVE-ID: CVE-2008-2332
Διατίθεται για: Windows XP ή Vista
Αποτέλεσμα: Η προβολή μιας κακόβουλης εικόνας TIFF μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπάρχει πρόβλημα αλλοίωσης μνήμης στον χειρισμό από το ImageIO των εικόνων TIFF. Η προβολή κακόβουλης εικόνας TIFF ενδέχεται να έχει ως αποτέλεσμα τον μη αναμενόμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένης επεξεργασίας των εικόνων TIFF. Αυτό το πρόβλημα αντιμετωπίζεται σε συστήματα με Mac OS X v10.5.5 ή νεότερη έκδοση και σε συστήματα Mac OS X v10.4.11 που έχουν εφαρμόσει την Ενημέρωση ασφάλειας 2008-006. Ευχαριστούμε τον Robert Swiecki της ομάδας Google Security Team την αναφορά αυτού του προβλήματος.
Safari
CVE-ID: CVE-2008-3608
Διατίθεται για: Windows XP ή Vista
Αποτέλεσμα: Η προβολή μιας μεγάλης κακόβουλης εικόνας JPEG μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπάρχει πρόβλημα αλλοίωσης μνήμης στον χειρισμό από το ImageIO των ενσωματωμένων προφίλ ICC στις εικόνες TIFF. Η προβολή μιας μεγάλης κακόβουλης εικόνας JPEG ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένης επεξεργασίας των προφίλ ICC. Αυτό το πρόβλημα αντιμετωπίζεται σε συστήματα με Mac OS X v10.5.5 ή νεότερη έκδοση και σε συστήματα Mac OS X v10.4.11 που έχουν εφαρμόσει την Ενημέρωση ασφάλειας 2008-006. Ευχαριστίες: Apple.
Safari
CVE-ID: CVE-2008-3642
Διατίθεται για: Windows XP ή Vista
Αποτέλεσμα: Η προβολή μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπάρχει υπερχείλιση buffer στον χειρισμό εικόνων με ενσωματωμένο προφίλ ICC. Το άνοιγμα κακόβουλης εικόνας με ένα ενσωματωμένο προφίλ ICC ενδέχεται να έχει ως αποτέλεσμα τον μη αναμενόμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα με εκτέλεση πρόσθετης επικύρωσης των προφίλ ICC στις εικόνες. Αυτό το πρόβλημα δεν επηρεάζει συστήματα Mac OS X που έχουν εφαρμόσει την Ενημέρωση ασφάλειας 2008-007. Ευχαριστίες: Apple.
Safari
CVE-ID: CVE-2008-3644
Διατίθεται για: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP ή Vista
Αποτέλεσμα: Ενδέχεται να αποκαλυφθούν ευαίσθητες πληροφορίες σε έναν τοπικό χρήστη κονσόλας
Περιγραφή: Η απενεργοποίηση της αυτόματης συμπλήρωσης σε ένα πεδίο φόρμας ενδέχεται να μην εμποδίζει την αποθήκευση των δεδομένων στο πεδίο στη μνήμη cache σελίδων του προγράμματος περιήγησης. Αυτό μπορεί να οδηγήσει στην αποκάλυψη ευαίσθητων πληροφοριών σε έναν τοπικό χρήστη. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα με τη σωστή εκκαθάριση των δεδομένων φόρμας. Ευχαριστούμε έναν ανώνυμο ερευνητή για την αναφορά αυτού του προβλήματος.
WebKit
CVE-ID: CVE-2008-2303
Διατίθεται για: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP ή Vista
Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα τύπου «signedness» κατά τον χειρισμό των δεικτών συστοιχίας JavaScript από το Safari ενδέχεται να έχει ως αποτέλεσμα την πρόσβαση σε μνήμη εκτός ορίων. Η μετάβαση σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα με εκτέλεση πρόσθετης επικύρωσης για τους δείκτες συστοιχίας JavaScript. Ευχαριστούμε τον SkyLined της Google για την αναφορά αυτού του προβλήματος.
WebKit
CVE-ID: CVE-2008-2317
Διατίθεται για: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP ή Vista
Αποτέλεσμα: Η επίσκεψη σε κακόβουλο ιστότοπο ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπάρχει πρόβλημα αλλοίωσης μνήμης στον χειρισμό στοιχείων φύλλων στιλ από το WebCore. Η μετάβαση σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένης συλλογής απορριμμάτων. Ευχαριστούμε έναν ανώνυμο ερευνητή, σε συνεργασία με την πρωτοβουλία TippingPoint Zero Day Initiative, για την αναφορά αυτού του προβλήματος.
WebKit
CVE-ID: CVE-2008-4216
Διατίθεται για: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP ή Vista
Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει στην αποκάλυψη ευαίσθητων πληροφοριών
Περιγραφή: Η διεπαφή προσθηκών του WebKit δεν αποκλείει την εκκίνηση τοπικών διευθύνσεων URL από τις προσθήκες. Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να επιτρέψει σε έναν απομακρυσμένο εισβολέα να εκκινεί τοπικά αρχεία στο Safari, το οποίο μπορεί να οδηγήσει στην αποκάλυψη ευαίσθητων πληροφοριών. Αυτή η ενημέρωση αντικεμετωπίζει το πρόβλημα απαγορεύοντας τους τύπους διευθύνσεων URL που μπορούν να εκκινηθούν μέσω της διεπαφής προσθηκών. Ευχαριστίες στον Billy Rios της Microsoft και στον Nitesh Dhanjani της Ernst & Young για την αναφορά αυτού του προβλήματος.
Σημαντικό: Η αναφορά ιστότοπων και προϊόντων τρίτων προορίζεται μόνο για ενημερωτικούς σκοπούς και δεν συνιστά ούτε έγκριση ούτε σύσταση. Η Apple δεν φέρει καμία ευθύνη όσον αφορά την επιλογή, την απόδοση ή τη χρήση πληροφοριών ή προϊόντων που βρίσκονται σε ιστότοπους τρίτων. Η Apple το παρέχει μόνο για διευκόλυνση των χρηστών μας. Η Apple δεν έχει ελέγξει τις πληροφορίες που βρίσκονται σε αυτούς τους ιστότοπους και δεν προβαίνει σε καμία δήλωση σχετικά με την ακρίβεια ή την αξιοπιστία τους. Υπάρχουν κίνδυνοι που συνδέονται με τη χρήση οποιωνδήποτε πληροφοριών ή προϊόντων που βρίσκονται στο διαδίκτυο και η Apple δεν αναλαμβάνει καμία ευθύνη ως προς αυτό. Πρέπει να κατανοήσετε ότι ένας ιστότοπος τρίτου μέρους είναι ανεξάρτητος από την Apple και ότι η Apple δεν έχει κανέναν έλεγχο επί του περιεχομένου σε αυτόν τον ιστότοπο. Επικοινωνήστε με τον προμηθευτή για πρόσθετες πληροφορίες.