Tietoja Safari 4.0.3:n turvallisuussisällöstä

Tämä asiakirja käsittelee Safari 4.0.3:n turvallisuussisältöä.

Suojellakseen asiakkaitaan Apple ei paljasta tai anna tietoja tietoturvaongelmista tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Miten käytetään Applen tuoteturvallisuuden PGP-avainta.

CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viitteinä haavoittuvuuksien lisätietoihin.

Tietoja muista turvallisuuspäivityksistä on artikkelissa Applen turvallisuuspäivitykset.

Safari 4.0.3

  • CoreGraphics

    CVE-ID: CVE-2009-2468

    Saatavana seuraaviin käyttöjärjestelmiin: Windows XP ja Vista

    Vaikutus: Haitallisen web-sivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen

    Kuvaus: Pitkien merkkijonojen piirtämisessä esiintyy kekopuskurin ylivuoto. Haitallisen web-sivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä päivitys korjaa haavoittuvuuden rajojen parannetun tarkastuksen avulla. Kiitos Google Inc:n Will Drewrylle ongelman ilmoittamisesta.

  • ImageIO

    CVE-ID: CVE-2009-2188

    Saatavana seuraaviin käyttöjärjestelmiin: Windows XP ja Vista

    Vaikutus: Haitallisen kuvan tarkastelemisen seurauksena sovellus voi sulkeutua odottamatta tai koodi voi toimia mielivaltaisesti

    Kuvaus: EXIF-metadatan käsittelyssä esiintyy puskurin ylivuoto. Haitallisen kuvan tarkastelemisen seurauksena sovellus voi sulkeutua odottamatta tai koodi voi toimia mielivaltaisesti. Tämä päivitys korjaa haavoittuvuuden rajojen parannetun tarkastuksen avulla.

  • Safari

    CVE-ID: CVE-2009-2196

    Saatavana seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP ja Vista

    Vaikutus: Haitallinen web-sivusto saattaa tulla lisätyksi Safarin Top Sites -näkymään

    Kuvaus: Safari 4 sisältää Top Sites -ominaisuuden, joka mahdollistaa suosikkiverkkosivustojen esikatselun. On mahdollista, että haitallinen web-sivusto lisää automaattisesti satunnaisia sivustoja Top Sites -näkymään. Tätä ongelmaa voidaan käyttää hyväksi verkkourkintahyökkäyksessä. Ongelma on korjattu estämällä automaattisten sivustokäyntien mahdollisuus vaikuttaa Top Sites -luettelon sisältöön. Vain sivustot, joita käyttäjä itse selaa, voidaan lisätä Top Sites -luetteloon. Mainittakoon, että Safarin vilpillisten sivustojen havaitsemistoiminto on oletusarvoisesti käytössä. Top Sites -ominaisuuden käyttöönotosta lähtien vilpilliset sivustot eivät näy Top Sites -näkymässä. Kiitos SecureThoughts.com:n Infernolle ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2009-2195

    Saatavana seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP ja Vista

    Vaikutus: Haitallisen web-sivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen

    Kuvaus: Webkitin liukulukujen jäsennyksessä esiintyy puskurin ylivuoto. Haitallisen web-sivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä päivitys korjaa haavoittuvuuden rajojen parannetun tarkastuksen avulla. Tästä ongelmasta ilmoitti Apple.

  • WebKit

    CVE-ID: CVE-2009-2200

    Saatavana seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP ja Vista

    Vaikutus: Haittallisen web-sivuston selaaminen ja Siirry-painikkeen osoittaminen haitallisessa plug-in-valintataulussa voi johtaa arkaluonteisten tietojen paljastumiseen

    Kuvaus: WebKit sallii upotetun elementin sisältämän pluginspage-attribuutin viitata tiedostojen URL-osoitteisiin. Siirry-painikkeen osoittaminen tuntemattomaan liitännäistyyppiin viittaavassa valintataulussa ohjaa pluginspage-attribuuttiin merkittyyn URL-osoitteeseen. Tämä voi antaa etähyökkääjälle mahdollisuuden käynnistää tiedostojen URL-osoitteita Safarissa, ja se voi johtaa arkaluonteisten tietojen paljastumiseen. Päivitys korjaa ongelman rajoittamalla URL:n pluginspage-määrityksen http- tai https-protokollaan. Kiitos n.runs AG:n Alexios Fakosille ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2009-2199

    Saatavana seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP ja Vista

    Vaikutus: Samannäköisiä merkkejä URL:ssä voidaan käyttää naamioimaan web-sivusto

    Kuvaus: Safariin upotettuja International Domain Name (IDN) -tukea ja Unicode-fontteja voidaan käyttää luomaan URL, joka sisältää samannäköisiä merkkejä. Näitä voidaan käyttää haitallisessa web-sivustossa ohjaamaan käyttäjä väärennettyyn sivustoon, joka näyttää olevan laillinen domain. Päivitys korjaa ongelman täydentämällä WebKitin samannäköisten merkkien luetteloa. Samannäköiset merkit muunnetaan osoiterivillä Punycode-muotoon. Kiitos Casaba Security, LLC:n Chris Weberille tästä ongelmasta ilmoittamisesta.

Julkaisupäivämäärä: