Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του Safari 4.0.5.

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του Safari 4.0.5.

H Apple, για λόγους προστασίας των πελατών της, δεν αποκαλύπτει, δεν συζητά ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.

Για περισσότερες πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο «Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple».

Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE για την αναφορά σε συγκεκριμένες ευπάθειες, με στόχο την περαιτέρω πληροφόρηση.

Για να ενημερωθείτε σχετικά με άλλες Ενημερώσεις ασφάλειας, ανατρέξτε στο άρθρο «Ενημερώσεις ασφάλειας Apple».

Safari 4.0.5

  • ColorSync

    CVE-ID: CVE-2010-0040

    Διατίθεται για: Windows 7, Vista, XP

    Αποτέλεσμα: Η προβολή κακόβουλης εικόνας με ενσωματωμένο προφίλ χρώματος μπορεί να οδηγήσει σε μη αναμενόμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπερχείλιση ακεραίων που μπορεί να οδηγήσει σε υπερχείλιση buffer στοίβας υπάρχει στον χειρισμό εικόνων με ενσωματωμένο προφίλ χρώματος. Το άνοιγμα κακόβουλης εικόνας με ένα ενσωματωμένο χρωματικό προφίλ ενδέχεται να έχει ως αποτέλεσμα τον μη αναμενόμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω εκτέλεσης πρόσθετης επικύρωσης προφίλ χρώματος. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα Mac OS X. Ευχαριστούμε τον Sebastien Renaud της VUPEN Vulnerability Research Team για την αναφορά αυτού του προβλήματος.

  • ImageIO

    CVE-ID: CVE-2009-2285

    Διατίθεται για: Windows 7, Vista, XP

    Αποτέλεσμα: Η προβολή κακόβουλης εικόνας TIFF ενδέχεται να έχει ως αποτέλεσμα τον μη αναμενόμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει υποχείλιση buffer στον χειρισμό εικόνων TIFF από το ImageIO. Η προβολή κακόβουλης εικόνας TIFF ενδέχεται να έχει ως αποτέλεσμα τον μη αναμενόμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίζεται με βελτιωμένο έλεγχο ορίων. Για συστήματα Mac OS X v10.6, αυτό το πρόβλημα αντιμετωπίζεται σε Mac OS X v10.6.2. Για συστήματα Mac OS X v10.5, αυτό το πρόβλημα αντιμετωπίζεται στην Ενημέρωση ασφάλειας 2010-001.

  • ImageIO

    CVE-ID: CVE-2010-0041

    Διατίθεται για: Windows 7, Vista, XP

    Αποτέλεσμα: Η επίσκεψη σε κακόβουλο ιστότοπο μπορεί να έχει ως αποτέλεσμα την αποστολή δεδομένων από τη μνήμη του Safari στον ιστότοπο

    Περιγραφή: Υπάρχει πρόβλημα μη εκκίνησης πρόσβασης στη μνήμη στον χειρισμό εικόνων BMP από το ImageIO. Η επίσκεψη σε κακόβουλο ιστότοπο ενδέχεται να οδηγήσει στην αποστολή δεδομένων από τη μνήμη του Safari στον ιστότοπο. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού της μνήμης και πρόσθετης επικύρωσης των εικόνων BMP. Ευχαριστούμε τον Matthew 'j00ru' Jurczyk της Hispasec για την αναφορά αυτού του προβλήματος.

  • ImageIO

    CVE-ID: CVE-2010-0042

    Διατίθεται για: Windows 7, Vista, XP

    Αποτέλεσμα: Η επίσκεψη σε κακόβουλο ιστότοπο μπορεί να έχει ως αποτέλεσμα την αποστολή δεδομένων από τη μνήμη του Safari στον ιστότοπο

    Περιγραφή: Υπάρχει πρόβλημα μη εκκίνησης πρόσβασης στη μνήμη στον χειρισμό εικόνων TIFF από το ImageIO. Η επίσκεψη σε κακόβουλο ιστότοπο ενδέχεται να οδηγήσει στην αποστολή δεδομένων από τη μνήμη του Safari στον ιστότοπο. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού της μνήμης και πρόσθετης επικύρωσης των εικόνων TIFF. Ευχαριστούμε τον Matthew 'j00ru' Jurczyk της Hispasec για την αναφορά αυτού του προβλήματος.

  • ImageIO

    CVE-ID: CVE-2010-0043

    Διατίθεται για: Windows 7, Vista, XP

    Αποτέλεσμα: Η επεξεργασία κακόβουλης εικόνας TIFF ενδέχεται να έχει ως αποτέλεσμα τον μη αναμενόμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει πρόβλημα καταστροφής μνήμης στον χειρισμό εικόνων TIFF. Η επεξεργασία κακόβουλης εικόνας TIFF ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα. Αυτό το ζήτημα αντιμετωπίζεται με βελτιωμένο χειρισμό της μνήμης. Ευχαριστούμε τον Gus Mueller της Flying Meat για την αναφορά αυτού του προβλήματος.

  • PubSub

    CVE-ID: CVE-2010-0044

    Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 ή νεότερη έκδοση, Mac OS X Server v10.6.1 ή νεότερη έκδοση, Windows 7, Vista, XP

    Αποτέλεσμα: Η επίσκεψη σε ή η ενημέρωση τροφοδοσίας μπορεί να έχει ως αποτέλεσμα τη ρύθμιση ενός cookie, ακόμα και αν το Safari είναι διαμορφωμένο να αποκλείει τα cookies

    Περιγραφή: Υπάρχει πρόβλημα εφαρμογής στον χειρισμό των cookies που ρυθμίζονται από τροφοδοσίες RSS και Atom. Η επίσκεψη σε ή η ενημέρωση μιας τροφοδοσίας μπορεί να έχει ως αποτέλεσμα τη ρύθμιση ενός cookie, ακόμα και αν το Safari είναι διαμορφωμένο να αποκλείει τα cookies μέσω της προτίμησης «Αποδοχή cookies». Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα σεβόμενη την προτίμηση κατά την ενημέρωση ή προβολή τροφοδοσιών.

  • Safari

    CVE-ID: CVE-2010-0045

    Διατίθεται για: Windows 7, Vista, XP

    Αποτέλεσμα: Η επίσκεψη σε κακόβουλο ιστότοπο μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Πρόβλημα στον χειρισμό εξωτερικών σχημάτων URL από το Safari μπορεί να οδηγήσει στο άνοιγμα τοπικού αρχείου σε απόκριση σε URL που εντοπίστηκε σε ιστοσελίδα. Η επίσκεψη σε έναν κακόβουλο ιστότοπο μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένης επαλήθευσης των εξωτερικών διευθύνσεων URL. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα Mac OS X. Ευχαριστούμε τον Billy Rios και τη Microsoft Vulnerability Research (MSVR) για την αναφορά αυτού του προβλήματος.

  • WebKit

    CVE-ID: CVE-2010-0046

    Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 ή νεότερη έκδοση, Mac OS X Server v10.6.1 ή νεότερη έκδοση, Windows 7, Vista, XP

    Αποτέλεσμα: Η επίσκεψη σε κακόβουλο ιστότοπο ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει πρόβλημα καταστροφής μνήμης στον χειρισμό ορισμάτων μορφής() CSS από το WebKit. Η μετάβαση σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτό το ζήτημα αντιμετωπίζεται με βελτιωμένο χειρισμό ορισμάτων μορφής() CSS. Ευχαριστούμε τον Robert Swiecki της Google Inc. για την αναφορά αυτού του προβλήματος.

  • WebKit

    CVE-ID: CVE-2010-0047

    Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 ή νεότερη έκδοση, Mac OS X Server v10.6.1 ή νεότερη έκδοση, Windows 7, Vista, XP

    Αποτέλεσμα: Η επίσκεψη σε κακόβουλο ιστότοπο ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει πρόβλημα τύπου «use-after-free» στον χειρισμό εναλλακτικού περιεχομένου στοιχείου αντικειμένου HTML. Η μετάβαση σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίζεται με βελτιωμένη παρακολούθηση αναφοράς μνήμης. Ευχαριστούμε τον wushi της team509, που συνεργάστηκε με το πρόγραμμα Zero Day Initiative της TippingPoint, για την αναφορά αυτού του προβλήματος.

  • WebKit

    CVE-ID: CVE-2010-0048

    Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 ή νεότερη έκδοση, Mac OS X Server v10.6.1 ή νεότερη έκδοση, Windows 7, Vista, XP

    Αποτέλεσμα: Η επίσκεψη σε κακόβουλο ιστότοπο ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει πρόβλημα τύπου «use-after-free» στην ανάλυση εγγράφων XML από το WebKit. Η μετάβαση σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίζεται με βελτιωμένη παρακολούθηση αναφοράς μνήμης. Ευχαριστούμε τον wushi της team509, που συνεργάστηκε με το πρόγραμμα Zero Day Initiative της TippingPoint, για την αναφορά αυτού του προβλήματος.

  • WebKit

    CVE-ID: CVE-2010-0049

    Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 ή νεότερη έκδοση, Mac OS X Server v10.6.1 ή νεότερη έκδοση, Windows 7, Vista, XP

    Αποτέλεσμα: Η επίσκεψη σε κακόβουλο ιστότοπο ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει πρόβλημα τύπου «use-after-free» στον χειρισμό στοιχείων HTML που περιέχουν κείμενο που εμφανίζεται από δεξιά προς τα αριστερά. Η μετάβαση σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίζεται με βελτιωμένη παρακολούθηση αναφοράς μνήμης. Ευχαριστούμε τον wushi της team509, που συνεργάστηκε με το πρόγραμμα Zero Day Initiative της TippingPoint για την αναφορά αυτού του προβλήματος.

  • WebKit

    CVE-ID: CVE-2010-0050

    Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 ή νεότερη έκδοση, Mac OS X Server v10.6.1 ή νεότερη έκδοση, Windows 7, Vista, XP

    Αποτέλεσμα: Η επίσκεψη σε κακόβουλο ιστότοπο ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει πρόβλημα τύπου «use-after-free» στον χειρισμό εσφαλμένα ένθετων ετικετών HTML από το WebKit. Η μετάβαση σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίζεται με βελτιωμένη παρακολούθηση αναφοράς μνήμης. Ευχαριστούμε τον wushi της team509, που συνεργάστηκε με το πρόγραμμα Zero Day Initiative της TippingPoint για την αναφορά αυτού του προβλήματος.

  • WebKit

    CVE-ID: CVE-2010-0051

    Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 ή νεότερη έκδοση, Mac OS X Server v10.6.1 ή νεότερη έκδοση, Windows 7, Vista, XP

    Αποτέλεσμα: Η επίσκεψη σε κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε κοινοποίηση ευαίσθητων πληροφοριών

    Περιγραφή: Υπάρχει πρόβλημα εφαρμογής στον χειρισμό αιτημάτων stylesheet διασταυρούμενης προέλευσης από το WebKit. Η επίσκεψη σε κακόβουλο ιστότοπο μπορεί να κοινοποιήσει το περιεχόμενο προστατευμένων πόρων σε άλλον ιστότοπο. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα εκτελώντας πρόσθετη επικύρωση σε stylesheet που φορτώνονται κατά τη διάρκεια αιτήματος διασταυρούμενης προέλευσης.

  • WebKit

    CVE-ID: CVE-2010-0052

    Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 ή νεότερη έκδοση, Mac OS X Server v10.6.1 ή νεότερη έκδοση, Windows 7, Vista, XP

    Αποτέλεσμα: Η επίσκεψη σε κακόβουλο ιστότοπο ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει πρόβλημα τύπου «use-after-free» στον χειρισμό νέων κλήσεων στοιχείων HTML από το WebKit. Η μετάβαση σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίζεται με βελτιωμένη παρακολούθηση αναφοράς μνήμης. Ευχαριστίες: Apple.

  • WebKit

    CVE-ID: CVE-2010-0053

    Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 ή νεότερη έκδοση, Mac OS X Server v10.6.1 ή νεότερη έκδοση, Windows 7, Vista, XP

    Αποτέλεσμα: Η επίσκεψη σε κακόβουλο ιστότοπο ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει πρόβλημα τύπου «use-after-free» στην απόδοση περιεχομένου με ιδιότητα εμφάνισης CSS ρυθμισμένη σε «run-in». Η μετάβαση σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίζεται με βελτιωμένη παρακολούθηση αναφοράς μνήμης. Ευχαριστούμε τον wushi της team509, που συνεργάστηκε με το πρόγραμμα Zero Day Initiative της TippingPoint για την αναφορά αυτού του προβλήματος.

  • WebKit

    CVE-ID: CVE-2010-0054

    Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 ή νεότερη έκδοση, Mac OS X Server v10.6.1 ή νεότερη έκδοση, Windows 7, Vista, XP

    Αποτέλεσμα: Η επίσκεψη σε κακόβουλο ιστότοπο ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει πρόβλημα τύπου «use-after-free» στον χειρισμό στοιχείων εικόνας HTML από το WebKit. Η μετάβαση σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίζεται με βελτιωμένη παρακολούθηση αναφοράς μνήμης. Ευχαριστίες: Apple.

Σημαντικό: Οι πληροφορίες σχετικά με προϊόντα που δεν κατασκευάζονται από την Apple παρέχονται μόνο για ενημερωτικούς σκοπούς και δεν αποτελούν σύσταση ή έγκριση της Apple. Επικοινωνήστε με τον προμηθευτή για πρόσθετες πληροφορίες.

Ημερομηνία δημοσίευσης: