Tietoja Safari 4.0.3:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan Safari 4.0.3:n turvallisuussisällöstä.

Apple haluaa suojella asiakkaitaan, eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

Safari 4.0.3

  • CoreGraphics

    CVE-ID: CVE-2009-2468

    Saatavuus: Windows XP ja Vista

    Vaikutus: Haitallisessa verkkosivustossa vieraileminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen koodin suorittamisen.

    Kuvaus: Pitkien tekstimerkkijonojen piirtämisessä oli kekopuskurin ylivuoto. Haitallisessa verkkosivustossa käyminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä päivitys korjaa ongelman parantamalla rajojen tarkistusta. Kiitos Will Drewrylle (Google Inc.) ongelman ilmoittamisesta.

  • ImageIO

    CVE-ID: CVE-2009-2188

    Saatavuus: Windows XP ja Vista

    Vaikutus: haitallisen kuvan tarkasteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: EXIF-metadatan käsittelyssä oli puskurin ylivuoto. Haitallisen kuvan tarkasteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä päivitys korjaa ongelman parantamalla rajojen tarkistusta.

  • Safari

    CVE-ID: CVE-2009-2196

    Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows XP ja Vista

    Vaikutus: haitallinen verkkosivusto saatetaan nostaa Safarin Top Sites -näkymään.

    Kuvaus: Safari 4 esitteli Top Sites -ominaisuuden, joka näytti käyttäjän suosikkiverkkosivustot yhdellä vilkaisulla. Haitallinen verkkosivusto saattaa pystyä nostamaan mielivaltaisia sivustoja Top Sites -näkymään automaattisten toimintojen kautta. Tätä voidaan käyttää tietojen kalasteluun. Tämä ongelma on korjattu estämällä automaattisten verkkosivustovierailujen vaikutus Top Sites -luetteloon. Vain sellaiset verkkosivustot, jolla käyttäjä käy manuaalisesti, voivat sisältyä Top Sites -luetteloon. Huomaa myös, että Safari ottaa käyttöön vilpillisten sivustojen havaitsemisen oletusarvoisesti. Vilpillisiä sivustoja ei ole näytetty Top Sites -näkymässä Top Sites -ominaisuuden esittelystä alkaen. Kiitokset Infernolle (SecureThoughts.com) ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2009-2195

    Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows XP ja Vista

    Vaikutus: haitallisessa verkkosivustossa käyminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin tavassa käsitellä liukulukuarvoja oli puskurin ylivuoto. Haitallisessa verkkosivustossa käyminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä päivitys korjaa ongelman parantamalla rajojen tarkistusta. Kiitokset: Apple.

  • WebKit

    CVE-ID: CVE-2009-2200

    Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows XP ja Vista

    Vaikutus: haitallisessa verkkosivustossa käyminen ja Go (Siirry) -vaihtoehdon klikkaaminen haitallisen liitännäisen valintaikkunassa saattaa aiheuttaa arkaluonteisten tietojen paljastumisen.

    Kuvaus: WebKit sallii embed-elementin pluginspage-määritteen viitata tiedostojen URL-osoitteisiin. Go (Siirry) -vaihtoehdon klikkaaminen valintaikkunassa, kun liitännäisen tyyppi on tuntematon, ohjaa käyttäjän pluginspage-määritteessä mainittuun URL-osoitteeseen. Tämä voi mahdollistaa sen, että etähyökkääjä voi käynnistää tiedostojen URL-osoitteita Safarissa, mikä voi johtaa arkaluonteisten tietojen paljastumiseen. Tämä päivitys korjaa ongelman rajoittamalla pluginspage-määritteen URL-osoitteet alkamaan http- tai https-muodossa. Kiitokset Alexios Fakosille (n.runs AG) ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2009-2199

    Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows XP ja Vista

    Vaikutus: Samannäköisten merkkien käyttäminen URL-osoitteessa mahdollistaa tiettynä verkkosivustona esiintymisen.

    Kuvaus: Safarin sisältämien International Domain Name (IDN) -tuen ja Unicode-fonttien avulla voidaan luoda URL-osoite, joka sisältää samannäköisiä merkkejä. Niitä voitiin käyttää haitallisessa verkkosivustossa käyttäjän ohjaamiseksi väärennetylle sivustolle, jonka domain näyttää visuaalisesti aidolta. Tämä päivitys korjaa ongelman täydentämällä WebKitin listaa tunnetuista samannäköisistä merkeistä. Samannäköiset merkit renderöidään Punycodella osoiteriville. Kiitokset Casaba Security, LLC:n Chris Weberille ongelman ilmoittamisesta.

Tärkeää: Tiedot tuotteista, joita Apple ei ole valmistanut, toimitetaan vain tiedotustarkoituksiin, eikä niitä tule ymmärtää Applen suosituksina. Lisätietoja saat toimittajalta.

Julkaisupäivämäärä: