Tietoja Safari 3.2:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan Safari 3.2:n turvallisuussisällöstä.
Apple haluaa suojella asiakkaitaan eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustolla.
Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.
CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.
Safari 3.2
Safari
CVE-ID: CVE-2005-2096
Saatavuus: Windows XP tai Vista
Vaikutus: useita haavoittuvuuksia zlib 1.2.2:ssa.
Kuvaus: zlib 1.2.2:ssa oli useita haavoittuvuuksia, joista vakavin saattoi johtaa palvelunestoon. Tämä päivitys ratkaisee ongelmat päivittämällä zlibin versioon 1.2.3. Nämä ongelmat eivät vaikuta Mac OS X -järjestelmiin. Kiitokset Robbie Joostenille (bioinformatics@school) ja David Gunnellsille (Alabaman yliopisto, Birmingham) näiden ongelmien ilmoittamisesta.
Safari
CVE-ID: CVE-2008-1767
Saatavuus: Windows XP tai Vista
Vaikutus: XML-dokumentin käsittely saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen koodin suorittamisen.
Kuvaus: libxslt-kirjastossa oli kekopuskurin ylivuoto. Vaikutus: Haitallisen HTML-sivun avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Lisätietoja ohjelmakorjauksesta on osoitteessa http://xmlsoft.org/XSLT/ Tämä ongelma ei vaikuta Mac OS X -järjestelmiin, joihin on asennettu suojauspäivitys 2008-007. Kiitokset Anthony de Almeida Lopesille (Outpost24 AB) ja Chris Evansille (Google Security Team) tämän ongelman ilmoittamisesta.
Safari
CVE-ID: CVE-2008-3623
Saatavuus: Windows XP tai Vista
Vaikutus: haitallisella verkkosivustolla käyminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: CoreGraphicsin tavassa käsitellä värimalleja oli kekopuskurin ylivuoto. Haitallisen kuvan tarkasteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä päivitys korjaa ongelman parantamalla rajojen tarkistusta. Kiitokset: Apple.
Safari
CVE-ID: CVE-2008-2327
Saatavuus: Windows XP tai Vista
Vaikutus: haitallisen TIFF-kuvan tarkasteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: LibTIFFin tavassa käsitellä LZW-koodattuja TIFF-kuvia oli useita alustamattoman muistin käyttöongelmia. Haitallisen TIFF-kuvan tarkasteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä päivitys ratkaisee ongelman kunnollisella muistin alustamisella ja TIFF-kuvien lisätarkistuksella. Tämä ongelma on ratkaistu järjestelmissä, joissa on Mac OS X 10.5.5 tai uudempi, sekä Mac OS X 10.4.11 -järjestelmissä, joihin on asennettu suojauspäivitys 2008-006. Kiitokset: Apple.
Safari
CVE-ID: CVE-2008-2332
Saatavuus: Windows XP tai Vista
Vaikutus: haitallisen TIFF-kuvan tarkasteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: ImageIO:n TIFF-kuvien käsittelyssä oli muistin vioittumisongelma. Haitallisen TIFF-kuvan tarkasteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä päivitys ratkaisee ongelman parantamalla TIFF-kuvien käsittelyä. Tämä ongelma on ratkaistu järjestelmissä, joissa on Mac OS X 10.5.5 tai uudempi, sekä Mac OS X 10.4.11 -järjestelmissä, joihin on asennettu suojauspäivitys 2008-006. Kiitokset Google Security Teamin Robert Swieckille tämän ongelman ilmoittamisesta.
Safari
CVE-ID: CVE-2008-3608
Saatavuus: Windows XP tai Vista
Vaikutus: suuren haitallisen JPEG-kuvan tarkasteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: ImageIO:n JPEG-kuviin upotettujen ICC-profiilien käsittelyssä oli muistin vioittumisongelma. Suuren haitallisen JPEG-kuvan tarkasteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä päivitys ratkaisee ongelman parantamalla ICC-profiilien käsittelyä. Tämä ongelma on ratkaistu järjestelmissä, joissa on Mac OS X 10.5.5 tai uudempi, sekä Mac OS X 10.4.11 -järjestelmissä, joihin on asennettu suojauspäivitys 2008-006. Kiitokset: Apple.
Safari
CVE-ID: CVE-2008-3642
Saatavuus: Windows XP tai Vista
Vaikutus: haitallisen kuvan tarkasteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Upotetun ICC-profiilin sisältävien kuvien käsittelyssä oli puskurin ylivuoto. Upotetun ICC-profiilin sisältävän haitallisen kuvan avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä päivitys ratkaisee ongelman suorittamalla kuvien ICC-profiilien lisätarkistuksen. Tämä ongelma ei koske Mac OS X -järjestelmiä, joihin on asennettu suojauspäivitys 2008-007. Kiitokset: Apple.
Safari
CVE-ID: CVE-2008-3644
Saatavuus: Mac OS X 10.4.11, Mac OS X 10.5.5, Windows XP tai Vista
Vaikutus: arkaluonteisia tietoja saattoi paljastua paikalliselle konsolin käyttäjälle.
Kuvaus: Lomakekentän automaattisen täytön poistaminen käytöstä ei ehkä estänyt kentän tietojen tallentumista selaimen sivuvälimuistiin. Tämä saattoi johtaa arkaluonteisten tietojen paljastumiseen paikalliselle käyttäjälle. Päivitys korjaa ongelman tyhjentämällä lomaketiedot oikealla tavalla. Kiitokset anonyymille tutkijalle tämän ongelman ilmoittamisesta.
WebKit
CVE-ID: CVE-2008-2303
Saatavuus: Mac OS X 10.4.11, Mac OS X 10.5.5, Windows XP tai Vista
Vaikutus: haitallisella verkkosivustolla käyminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Safarin JavaScript-taulukkoindeksien käsittelyssä ollut etumerkkiongelma saattoi aiheuttaa rajojen ulkopuolisen muistin käytön. Haitallisessa verkkosivustossa käyminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä päivitys korjaa ongelman suorittamalla JavaScript-taulukkoindekseille ylimääräisen tarkistuksen. Kiitokset Googlen SkyLinedille ongelman ilmoittamisesta.
WebKit
CVE-ID: CVE-2008-2317
Saatavuus: Mac OS X 10.4.11, Mac OS X 10.5.5, Windows XP tai Vista
Vaikutus: haitallisella verkkosivustolla käyminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: WebCoressa oli tyylisivujen käsittelyyn liittyvä muistinvioittumisongelma. Haitallisessa verkkosivustossa käyminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä päivitys korjaa ongelman parantamalla muistin siivoamista. Kiitokset yhteistyössä TippingPoint Zero Day Initiativen kanssa työskentelevälle nimettömälle tutkijalle ongelman ilmoittamisesta.
WebKit
CVE-ID: CVE-2008-4216
Saatavuus: Mac OS X 10.4.11, Mac OS X 10.5.5, Windows XP tai Vista
Vaikutus: haitallisella verkkosivustolla käyminen saattoi johtaa arkaluontoisten tietojen paljastumiseen.
Kuvaus: WebKitin liitännäisliitäntä ei estänyt liitännäisiä avaamasta paikallisia URL-osoitteita. Haitallisella verkkosivustolla käyminen saattoi sallia etähyökkääjän avata paikallisia tiedostoja Safarissa, mikä saattoi johtaa arkaluonteisten tietojen paljastumiseen. Tämä päivitys ratkaisee ongelman rajoittamalla URL-osoitteiden tyyppejä, jotka voidaan avata liitännäisliitännän kautta. Kiitokset Billy Riosille (Microsoft) ja Nitesh Dhanjanille (Ernst & Young) tämän ongelman ilmoittamisesta.
Tärkeää: Maininta kolmansien osapuolten verkkosivustoista ja tuotteista on tarkoitettu vain tiedotustarkoituksiin, eikä sitä tule ymmärtää suosituksena. Apple ei ole vastuussa kolmansien osapuolten verkkosivustoilla olevien tietojen tai tuotteiden valinnasta, suorituskyvystä tai käytöstä. Apple tarjoaa tämän käyttäjille vain tiedotustarkoituksiin. Apple ei ole testannut näillä sivustoilla olevia tietoja eikä ole vastuussa niiden tarkkuudesta tai luotettavuudesta. Internetissä olevien tietojen tai tuotteiden käyttöön liittyy riskejä, eikä Apple ole vastuussa niiden käyttöön liittyvistä riskeistä. Huomaa, että kolmannen osapuolen sivusto on riippumaton Applesta eikä Apple voi hallita kyseisen sivuston sisältöä. Lisätietoja saat toimittajalta.