Tietoja Safari 4.0.5:n turvallisuussisällöstä

Tämä asiakirja käsittelee Safari 4.0.5:n turvallisuussisältöä.

Suojellakseen asiakkaitaan Apple ei paljasta tai anna tietoja tietoturvaongelmista tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE ID -tunnuksia käytetään viittaamaan haavoittuvuuksien lisätietoihin mahdollisuuksien mukaan.

Tietoja muista turvallisuuspäivityksistä on artikkelissa Applen turvallisuuspäivitykset.

Safari 4.0.5

  • ColorSync

    CVE-ID: CVE-2010-0040

    Saatavilla seuraaviin käyttöjärjestelmiin: Windows 7, Windows Vista, Windows XP

    Vaikutus: Upotetun väriprofiilin sisältävän haitallisen kuvan näyttäminen voi johtaa sovelluksen odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: Upotetun väriprofiilin sisältävien kuvien käsittelyssä esiintyy kokonaisluvun ylivuoto, joka voi johtaa kekopuskurin ylivuotoon Upotetun väriprofiilin sisältävän kuvan avaaminen voi johtaa sovelluksen odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen. Ongelma korjaantuu, kun suoritetaan ylimääräinen väriprofiilien tarkistus. Tämä ongelma ei koske Mac OS X -järjestelmiä. Kiitos VUPEN Vulnerability Research Team -ryhmän Sebastien Renaudille tämän ongelman ilmoittamisesta.

  • ImageIO

    CVE-ID: CVE-2009-2285

    Saatavilla seuraaviin käyttöjärjestelmiin: Windows 7, Windows Vista, Windows XP

    Vaikutus: Haitallisen TIFF-kuvan näyttäminen voi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: ImageIO:n TIFF-kuvien käsittelyssä on puskurin alivuoto. Haitallisen TIFF-kuvan näyttäminen voi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen. Tämä ongelma on korjattu rajojen parannetun tarkastuksen avulla. Mac OS X 10.6 -järjestelmissä ongelma on korjattu Mac OS X 10.6.2 -versiossa. Mac OS X 10.5 -järjestelmissä ongelman korjaa turvallisuuspäivitys 2010-001.

  • ImageIO

    CVE-ID: CVE-2010-0041

    Saatavilla seuraaviin käyttöjärjestelmiin: Windows 7, Windows Vista, Windows XP

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sen, että verkkosivustolle lähetetään tietoja Safarin muistista.

    Kuvaus: ImageIO-komponentin BMP-kuvien käsittelyssä esiintyy alustamattoman muistin käyttöön liittyvä ongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sen, että verkkosivustolle lähetetään tietoja Safarin muistista. Tämä ongelma on korjattu parannetulla muistin käsittelyllä ja BMP-kuvien lisätarkastuksella. Kiitos Hispasecin Matthew "j00ru" Jurczykille tämän ongelman ilmoittamisesta.

  • ImageIO

    CVE-ID: CVE-2010-0042

    Saatavilla seuraaviin käyttöjärjestelmiin: Windows 7, Windows Vista, Windows XP

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sen, että verkkosivustolle lähetetään tietoja Safarin muistista.

    Kuvaus: ImageIO-komponentin TIFF-kuvien käsittelyssä esiintyy alustamattoman muistin käyttöön liittyvä ongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sen, että verkkosivustolle lähetetään tietoja Safarin muistista. Tämä ongelma on korjattu parannetulla muistin käsittelyllä ja TIFF-kuvien lisätarkastuksella. Kiitos Hispasecin Matthew "j00ru" Jurczykille tämän ongelman ilmoittamisesta.

  • ImageIO

    CVE-ID: CVE-2010-0043

    Saatavilla seuraaviin käyttöjärjestelmiin: Windows 7, Windows Vista, Windows XP

    Vaikutus: Haitallisen TIFF-kuvan käsitteleminen voi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: TIFF-kuvien käsittelyyn liittyy muistin vioittumisongelma. Haitallisen TIFF-kuvan käsitteleminen voi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen. Tämä ongelma on korjattu parannetun muistin käsittelyn avulla. Kiitos Flying Meatin Gus Muellerille tämän ongelman ilmoittamisesta.

  • PubSub

    CVE-ID: CVE-2010-0044

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 tai uudempi, Mac OS X Server 10.6.1 tai uudempi, Windows 7, Windows Vista, Windows XP

    Vaikutus: Syötteessä käyminen tai sen päivittäminen saattaa aiheuttaa evästeen asettamiseen, vaikka Safari olisi määritetty estämään evästeet.

    Kuvaus: RSS- ja Atom-syötteiden asettamien evästeiden käsittelyssä on toteutusongelma. Syötteessä käyminen tai sen päivittäminen saattaa aiheuttaa evästeen asettamiseen, vaikka Safari olisi määritetty estämään evästeet Hyväksy evästeet -asetuksen avulla. Tämä päivitys korjaa ongelman noudattamalla kyseistä asetusta, kun syötteitä päivitetään tai tarkastellaan.

  • Safari

    CVE-ID: CVE-2010-0045

    Saatavilla seuraaviin käyttöjärjestelmiin: Windows 7, Windows Vista, Windows XP

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: Safarin ulkoisten URL-mallien käsittelyyn liittyvä ongelma saattaa aiheuttaa sen, että paikallinen tiedosto avataan vastineena verkkosivulla kohdatulle URL-osoitteelle. Haitallisessa sivustossa käynti voi johtaa mielivaltaiseen koodin suoritukseen. Tämä päivitys korjaa ongelman ulkoisten URL-osoitteiden parannetulla tarkistamisella. Tämä ongelma ei koske Mac OS X -järjestelmiä. Kiitos Microsoft Vulnerability Researchille (MSVR) ja Billy Riosille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-0046

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 tai uudempi, Mac OS X Server 10.6.1 tai uudempi, Windows 7, Windows Vista, Windows XP

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin CSS-format()-argumenttien käsittelyyn liittyy muistin vioittumisongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on korjattu parannetun CSS:n format()-argumenttien käsittelyn avulla. Kiitos Google Inc.:n Robert Swieckille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-0047

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 tai uudempi, Mac OS X Server 10.6.1 tai uudempi, Windows 7, Windows Vista, Windows XP

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: HTML-objektielementtien fallback-sisällön käsittelyssä on use-after-free-ongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on korjattu parannetun muistiviittausten jäljityksen avulla. Kiitos TippingPointin Zero Day Initiativen parissa työskentelevälle team509:n wushille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-0048

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 tai uudempi, Mac OS X Server 10.6.1 tai uudempi, Windows 7, Windows Vista, Windows XP

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin XML-dokumenttien jäsentämisessä on use-after-free-ongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on korjattu parannetun muistiviittausten jäljityksen avulla. Kiitos TippingPointin Zero Day Initiativen parissa työskentelevälle team509:n wushille tämän ongelman ilmoittamisesta.

  • Webkit

    CVE-ID: CVE-2010-0049

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 tai uudempi, Mac OS X Server 10.6.1 tai uudempi, Windows 7, Windows Vista, Windows XP

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: Oikealta vasemmalle näytettyä tekstiä sisältävien HTML-elementtien käsittelyssä on use-after-free-ongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on korjattu parannetun muistiviittausten jäljityksen avulla. Kiitos TippingPointin Zero Day Initiativen parissa työskentelevälle team509:n wushille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-0050

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 tai uudempi, Mac OS X Server 10.6.1 tai uudempi, Windows 7, Windows Vista, Windows XP

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin virheellisesti sisäkkäin asetettujen HTML-tunnisteiden käsittelyssä on use-after-free-ongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on korjattu parannetun muistiviittausten jäljityksen avulla. Kiitos TippingPointin Zero Day Initiativen parissa työskentelevälle team509:n wushille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-0051

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 tai uudempi, Mac OS X Server 10.6.1 tai uudempi, Windows 7, Windows Vista, Windows XP

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa johtaa arkaluonteisten tietojen paljastumiseen.

    Kuvaus: WebKitin eri alkuperää olevien tyylisivupyyntöjen käsittelyssä on toteutusongelma. Haitallisen verkkosivuston selaaminen saattaa paljastaa toisen verkkosivuston suojattujen resurssien sisällön. Tämä päivitys korjaa ongelman suorittamalla lisätarkastuksia tyylisivuille, jotka ladataan eri alkuperää olevan pyynnön aikana.

  • WebKit

    CVE-ID: CVE-2010-0052

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 tai uudempi, Mac OS X Server 10.6.1 tai uudempi, Windows 7, Windows Vista, Windows XP

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin HTML-elementtien callbackien käsittelyssä on use-after-free-ongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on korjattu parannetun muistiviittausten jäljityksen avulla. Tästä ongelmasta ilmoitti Apple.

  • WebKit

    CVE-ID: CVE-2010-0053

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 tai uudempi, Mac OS X Server 10.6.1 tai uudempi, Windows 7, Windows Vista, Windows XP

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: Sisällön hahmontamisessa on use-after-free-ongelma, kun CSS-näyttöominaisuutena on "run-in". Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on korjattu parannetun muistiviittausten jäljityksen avulla. Kiitos TippingPointin Zero Day Initiativen parissa työskentelevälle team509:n wushille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-0054

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 tai uudempi, Mac OS X Server 10.6.1 tai uudempi, Windows 7, Windows Vista, Windows XP

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin HTML-kuvaelementtien käsittelyssä on use-after-free-ongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on korjattu parannetun muistiviittausten jäljityksen avulla. Tästä ongelmasta ilmoitti Apple.

Julkaisupäivämäärä: