Tietoja Safari 5.0- ja Safari 4.1 -selainten turvallisuussisällöstä

Tämä asiakirja käsittelee Safari 5.0:n ja Safari 4.1:n turvallisuussisältöä.

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE ID -tunnuksia käytetään viittaamaan haavoittuvuuksien lisätietoihin mahdollisuuksien mukaan.

Tietoja muista turvallisuuspäivityksistä on artikkelissa Applen turvallisuuspäivitykset.

Safari 5.0

  • ColorSync

    CVE-ID: CVE-2009-1726

    Saatavilla seuraaviin käyttöjärjestelmiin: Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Upotetun ColorSync-profiilin sisältävän haitallisen kuvan näyttäminen voi johtaa sovelluksen odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: Upotetun ColorSync-profiilin sisältävän kuvan käsittelyssä esiintyy kekopuskurin ylivuoto. Upotetun ColorSync-profiilin sisältävän kuvan avaaminen voi johtaa sovelluksen odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen. Tämä ongelma on ratkaistu parannetulla ColorSync-profiilien tarkastuksella. Kiitos Google Security Teamin Chris Evansille sekä Andrzej Dyjakille tämän ongelman ilmoittamisesta.

  • ImageIO

    CVE-ID: CVE-2010-1411

    Saatavilla seuraaviin käyttöjärjestelmiin: Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen TIFF-tiedoston avaaminen voi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: TIFF-tiedostojen käsittelyssä on useita kokonaislukujen ylivuotoja, jotka voivat aiheuttaa kekopuskurin ylivuodon. Haitallisen TIFF-tiedoston avaaminen voi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen. Ongelmat on ratkaistu parannetulla rajojen tarkistamisella. Kiitos digitalmunition.comin Kevin Finisterrelle näiden ongelmien ilmoittamisesta.

  • Safari

    CVE-ID: CVE-2010-1384

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallinen URL-osoite voidaan piilottaa, joka tekee tietojenkalasteluhyökkäyksistä tehokkaampia.

    Kuvaus: Safari tukee käyttäjätietojen sisällyttämistä URL-osoitteisiin, minkä ansiosta URL-osoite voi määrittää käyttäjätunnuksen ja salasanan, jotta käyttäjä voidaan todentaa nimetylle palvelimelle. Näitä URL-osoitteita käytetään usein hämäämään käyttäjiä, mikä saattaa mahdollisesti auttaa tietojenkalasteluhyökkäyksiä. Safari on päivitetty näyttämään varoituksen ennen siirtymistä sellaiseen HTTP- tai HTTPS-URL-osoitteeseen, joka sisältää käyttäjätietoja. Kiitos Google Inc.:n Abhishek Aryalle tämän ongelman ilmoittamisesta.

  • Safari

    CVE-ID: CVE-2010-1385

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: PDF-tiedostojen käsittelyyn Safarilla liittyy use after free -ongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on ratkaistu PDF-tiedostojen parannetulla käsittelyllä. Kiitos Sarenetin Borja Marcosille tämän ongelman ilmoittamisesta.

  • Safari

    CVE-ID: CVE-2010-1750

    Saatavilla seuraaviin käyttöjärjestelmiin: Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: Safari-selaimen ikkunoiden hallintaan liittyy use after free -ongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on korjattu parannetun ikkunoiden hallinnan avulla. Tämä ongelma ei koske Mac OS X -järjestelmiä.

  • WebKit

    CVE-ID: CVE-2010-1388

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi

    Vaikutus: Linkkien tai kuvien vetäminen tai liittäminen voi johtaa tietojen paljastumiseen.

    Kuvaus: WebKitin URL-osoitteiden käsittelyssä leikepöydällä on toteutusongelma. Haitallisella verkkosivustolla vierailu ja linkkien tai kuvien vetäminen tai liittäminen voi lähettää tiedostoja käyttäjän järjestelmästä etäpalvelimeen. Tämä ongelma on ratkaistu leikepöydällä olevien URL-osoitteiden parannetulla tarkastamisella. Tämä ongelma ei koske Windows-järjestelmiä. Kiitos Google Inc.:n Eric Seidelille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1389

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Valinnan vetäminen tai liittäminen voi johtaa sivustojenväliseen komentosarjahyökkäykseen.

    Kuvaus: Valinnan vetäminen tai liittäminen sivustolta toiselle voi mahdollistaa valinnan sisältävien komentosarjojen suorittamisen uuden sivuston yhteydessä. Tämä ongelma on ratkaistu sisällön lisätarkastuksella ennen liittämistä tai vedä ja pudota -toimintoa. Kiitos Context Information Securityn Paul Stonelle tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1390

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Vierailu UTF-7-koodausta käyttävällä sivustolla voi johtaa sivustojenväliseen komentosarjahyökkäykseen.

    Kuvaus: Kanonisointiongelma esiintyy WebKitin UTF-7-koodatun tekstin käsittelyssä. HTML:llä ilmaistu merkkijono voidaan jättää päättämättä, mikä johtaa sivustojenväliseen komentosarjahyökkäykseen Tämä ongelma on ratkaistu poistamalla UTF-7-koodauksen tuki WebKitistä. Kiitos Masahiro Yamadalle tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1391

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Vierailu haitallisella verkkosivustolla saattaa aiheuttaa tiedostojen luonnin sattumanvaraisiin sijainteihin, joihin käyttäjällä on kirjoitusoikeus.

    Kuvaus: WebKitin tuessa paikalliselle tallennustilalle ja Web SQL -tietokannoille on polun ohittamiseen liittyvä ongelma. Jos niitä käytetään ohjelman määrittämästä mallista, joka sisältää '%2f' (/) tai '%5c' (\) ja '..' URL-osoitteen isäntäosassa, haitallinen verkkosivusto voi aiheuttaa sen, että tietokantatiedostoja luodaan määrätyn hakemiston ulkopuolelle. Tämä ongelma on ratkaistu koodaamalla ne merkit, joilla on erityinen merkitys polkunimissä. Tämä ongelma ei vaikuta http:- tai https:-malleilla palveltuihin sivustoihin. Tästä ongelmasta ilmoitti Apple.

  • WebKit

    CVE-ID: CVE-2010-1392

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin HTML-painikkeiden hahmontamiseen liittyy use after free -ongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on korjattu parannetulla muistin hallinnalla. Kiitos VUPEN Vulnerability Research Teamin Matthieu Bonettille sekä TippingPointin Zero Day Initiativen parissa työskentelevälle team509:n wushille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1393

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa johtaa tietojen paljastumiseen.

    Kuvaus: WebKitin CSS-tyyliohjeiden käsittelyyn liittyy tietojen paljastumisen ongelma. Jos tyylisivun HREF-määritteeseen on asetettu URL-osoite, joka aiheuttaa uudelleenohjauksen, sivulla olevat komentosarjat saattavat saada pääsyn uudelleenohjattuun URL-osoitteeseen. Haitallisella verkkosivustolla vierailu saattaa johtaa arkaluontoisten URL-osoitteiden paljastumiseen toisella verkkosivustolla. Ongelma on ratkaistu palauttamalla alkuperäinen URL-osoite komentosarjoihin uudelleenohjatun URL-osoitteen sijasta.

  • WebKit

    CVE-ID: CVE-2010-1119

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 tai uudempi, Mac OS X Server 10.6.1 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin määritteiden hallintaan liittyy use after free -ongelma Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on korjattu parannetun muistiviittausten jäljityksen avulla. Kiitos TippingPointin Zero Day Initiativen parissa työskenteleville Vincenzo Iozzolle ja Ralf Philipp Weinmannille sekä Google Inc.:n Michal Zalewskille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1394

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sivustojenvälisen komentosarjahyökkäyksen.

    Kuvaus: WebKitin HTML-dokumentin koodien käsittelyssä on suunnitteluongelma. HTML-dokumentin koodien sisällöt käsitellään ennen koodin varsinaista lisäämistä dokumenttiin. Haitallisella verkkosivustolla vierailu saattaa johtaa sivustojenväliseen komentosarjahyökkäykseen, jos luotettava verkkosivusto yrittää muuttaa dokumentin koodia, joka sisältää epäluotettavaa tietoa. Tämä ongelma on ratkaistu varmistamalla, että alkuperäisellä koodin jäsentämisellä ei ole sivuvaikutuksia dokumenttiin, joka loi koodin. Kiitos Google Inc.:n Eduardo Vela Navalle (sirdarckcat) tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1422

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Vuorovaikutus haitallisen sivuston kanssa voi aiheuttaa odottamattomia toimintoja muissa sivustoissa.

    Kuvaus: WebKitin näppäimistön kohdistuksen käsittelyssä on toteuttamisongelma. Jos näppäimistön kohdistus muuttuu näppäinten painallusten käsittelyn aikana, WebKit saattaa siirtää tapahtuman uudelleen kohdistettuun kehykseen sen kehyksen sijaan, joka oli kohdistettuna painalluksen tapahtuessa. Haitallinen web-sivusto voi ohjata käyttäjää tekemään odottamattomia toimia, esimerkiksi suorittamaan ostoksia. Tämä ongelma on ratkaistu estämällä painallustapahtumien tuottaminen, jos näppäimistön kohdistus muuttuu käsittelyn aikana Kiitos Google Inc.:n Michal Zalewskille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1395

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisella verkkosivustolla käynnistä voi seurata sivustojenvälinen komentosarjahyökkäys.

    Kuvaus: WebKitin DOM-konstruktoriobjektien käsittelyssä on vaikutusalueen hallintaan liittyvä ongelma. Haitallisella verkkosivustolla käynnistä voi seurata sivustojenvälinen komentosarjahyökkäys Tämä ongelma on ratkaistu parannetulla DOM-konstruktoriobjektien käsittelyllä. Kiitos Runlevel6-yrityksen Gianni "gf3" Chiapettalle tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1396

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin säiliöelementtien käsittelyssä on use after free -ongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on korjattu parannetun muistiviittausten jäljityksen avulla. Kiitos TippingPointin Zero Day Initiativen parissa työskentelevälle team509:n wushille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1397

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin valinnan hahmontamisessa on use after free -ongelma asettelun muuttuessa. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on ratkaistu valintojen parannetulla käsittelyllä. Kiitos TippingPointin Zero Day Initiativen parissa työskentelevälle team509:n wushille ja Z:lle tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1398

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin tapaan käsitellä järjestettyjen luetteloiden lisäyksiä liittyy muistin vioittumisongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on ratkaistu parannetulla luetteloiden lisäyksen käsittelyllä. Kiitos TippingPointin Zero Day Initiativen parissa työskentelevälle team509:n wushille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1399

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin lomakkeiden syöttöelementtien valintojen muuttumisen käsittelyyn liittyy alustamattoman muistin käyttöongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on ratkaistu valintojen parannetulla käsittelyllä. Kiitos TippingPointin Zero Day Initiativen parissa työskentelevälle team509:n wushille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1400

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin tapaan käsitellä otsikkoelementtejä liittyy use after free -ongelma Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on ratkaistu parannetulla otsikkoelementtien käsittelyllä. Kiitos iDefencen parissa työskentelevälle team509:n wushille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1401

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin tavassa käsitellä .first-letter-pseudo-elementtiä CSS-sivuilla on use after free -ongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on ratkaistu parannetulla .first-letter-pseudo-elementin käsittelyllä. Kiitos TippingPointin Zero Day Initiativen parissa työskentelevälle team509:n wushille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1402

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin tapahtuman kuuntelijaan SVG-dokumenteissa liittyy double-free-ongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on ratkaistu parannetulla SVG-dokumenttien käsittelyllä. Kiitos TippingPointin Zero Day Initiativen parissa työskentelevälle team509:n wushille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1403

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin use-elementtien käsittelyyn SVG-dokumenteissa liittyy alustamattoman muistin ongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on ratkaistu parannetulla use-elementtien käsittelyllä SVG-dokumenteissa. Kiitos TippingPointin Zero Day Initiativen parissa työskentelevälle team509:n wushille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1404

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin tapaan käsitellä SVG-dokumenttien useita use-elementtejä liittyy use after free -ongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on ratkaistu parannetulla use-elementtien käsittelyllä SVG-dokumenteissa. Kiitos TippingPointin Zero Day Initiativen parissa työskentelevälle team509:n wushille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1410

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin tapaan käsitellä sisäkkäisiä use-elementtejä SVG-dokumenteissa liittyy muistin vioittumisongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on ratkaistu parannetulla sisäkkäisten use-elementtien käsittelyllä SVG-dokumenteissa. Kiitos OUSPG:n Aki Helinille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1749

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin tapaan käsitellä CSS-sivujen täydennyksiä liittyy use after free -ongelma Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on korjattu CSS:n täydennysten parannetulla käsittelyllä. Kiitos TippingPointin Zero Day Initiativen parissa työskentelevälle team509:n wushille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1405

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin tapaan käsitellä mukautetusti pystyyn sijoitettuja HTML-elementtejä liittyy use after free -ongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on korjattu parannetun muistiviittausten jäljityksen avulla. Kiitos Google Inc.:n Ojan Vafaille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1406

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Vierailu HTTPS-sivustolla, joka uudelleenohjaa HTTP-sivustolle, saattaa aiheuttaa tietojen paljastumiseen.

    Kuvaus: Kun WebKit uudelleenohjataan HTTPS-sivustolta HTTP-sivustolle, Referer-otsaketiedot välitetään HTTP-sivustolle. Tämä saattaa johtaa HTTPS-sivuston URL-osoitteessa olevien arkaluontoisten tietojen paljastumiseen. Tämä ongelma on ratkaistu niin, että Referer-otsaketietoja ei välitetä, kun HTTPS-sivustolta tehdään uudelleenohjaus HTTP-sivustolle. Kiitos Tarsnapin Colin Percivalille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1408

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Vierailu haitallisella verkkosivustolla voi aiheuttaa etänä määritettyjen tietojen lähettämisen sattumanvaraisiin TCP-portteihin.

    Kuvaus: WebKitin tavassa käsitellä pyyntöjä ei-oletusarvoisiin TCP-portteihin on kokonaislukujen katkaisuongelma. Vierailu haitallisella verkkosivustolla voi aiheuttaa etänä määritettyjen tietojen lähettämisen mielivaltaisiin TCP-portteihin. Ongelma on korjattu varmistamalla, että porttien numerot ovat sallitulla välillä.

  • WebKit

    CVE-ID: CVE-2010-1409

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisella verkkosivustolla vierailu voi mahdollistaa etänä määritetyn tiedon lähettämisen IRC-palvelimelle.

    Kuvaus: Tavalliset IRC-palvelun portit eivät ole WebKitin porttien mustalla listalla. Haitallisella verkkosivustolla vierailu voi mahdollistaa etänä määritetyn tiedon lähettämisen IRC-palvelimelle Tämä saattaa johtaa siihen, että palvelin suorittaa tahattomia toimia käyttäjän puolesta. Tämä ongelma on ratkaistu lisäämällä kyseiset portit WebKitin mustalle listalle.

  • WebKit

    CVE-ID: CVE-2010-1412

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin tapaan käsitellä hover-tapahtumia liittyy use after free -ongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on korjattu parannetulla hover-tapahtumien käsittelyllä. Kiitos davebowker.comin Dave Bowkerille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1413

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Käyttäjän NTLM-tunnistetiedot voivat paljastua välimieshyökkääjälle.

    Kuvaus: Joissain tapauksissa, WebKit voi lähettää NTLM-tunnistetiedot pelkässä tekstimuodossa. Tämä antaa välimieshyökkääjälle mahdollisuuden tarkastella NTLM-tunnistetietoja. Tämä ongelma on korjattu parannetulla NTLM-tunnistetietojen käsittelyllä. Tästä ongelmasta ilmoitti Apple.

  • WebKit

    CVE-ID: CVE-2010-1414

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin tavassa käsitellä removeChild-DOM-menetelmää on use after free -ongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on korjattu parannetulla alielementin poiston käsittelyllä. Kiitos Azimuth Securityn Mark Dowdille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1415

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin tavassa käsitellä libxml-konteksteja on API-rajapinnan väärinkäyttöongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Ongelma on ratkaistu parannetulla libxml-kontekstiobjektien käsittelyllä. Kiitos OUSPG:n Aki Helinille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1416

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa paljastaa kuvia muista sivustoista.

    Kuvaus: Sivustojenväliseen kuvankaappaukseen liittyvä haavoittuvuus WebKitissä. Haitallinen verkkosivusto voi ladata ja kaapata kuvan toisesta verkkosivustosta käyttämällä piirtoalustaa, jossa on SVG-kuvan kuvio. Tämä ongelma on ratkaistu rajoittamalla sellaisten piirtoalustojen lukemista, jotka sisältävät muilta sivustoilta ladattuja kuvioita. Kiitos Google Inc.:n Chris Evansille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1417

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin tavassa käsitellä CSS-sivuilla määriteltyä HTML-sisältöä useilla :after pseudo-valitsimilla on muistinvioittumisongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on ratkaistu parannetulla HTML-sisällön hahmontamisella. Kiitos team509:n wushille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1418

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sivustojenvälisen komentosarjahyökkäyksen.

    Kuvaus: WebKitin tavassa käsitellä kehyselementin src-määritettä on syötteen tarkistusongelma. Määritettä javascript-mallilla ja edessä olevilla välilyönneillä pidetään oikeellisena. Haitallisen verkkosivuston selaaminen voi johtaa sivustojenväliseen komentosarjahyökkäyksen. Tämä päivitys korjaa ongelman tarkistamalla asianmukaisesti frame.src:n, ennen kuin URL-osoitteen viittaus poistetaan. Kiitos Sergey Glazunoville tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1419

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin tapaan käsitellä vedä ja pudota -toimintoa liittyy use after free -ongelma, kun vetotoimenpiteen lähteenä toimiva ikkuna suljetaan, ennen kuin vetotoiminto on suoritettu loppuun. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on korjattu parannetulla muistin hallinnalla. Kiitos Google Chrome Security Teamin kuzzcc:lle ja Skylinedille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1421

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Vierailu haitallisella verkkosivustolla voi muuttaa leikepöydän sisältöä.

    Kuvaus: JavaScript-funktion execCommand toteutuksessa on suunnitteluongelma. Haitallinen verkkosivu voi muuttaa leikepöydän sisältöä ilman käyttäjän vaikutusta. Tämä ongelma on ratkaistu mahdollistamalla leikepöydän komentojen suorittamisen ainoastaan käyttäjän toimesta. Tästä ongelmasta ilmoitti Apple.

  • WebKit

    CVE-ID: CVE-2010-0544

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sivustojenvälisen komentosarjan suorituksen.

    Kuvaus: Ongelma WebKitin tavassa käsitellä virheellisesti muodostettuja URL-osoitteita voi johtaa sivustojenväliseen komentosarjahyökkäykseen haitallisessa verkkosivustossa vierailtaessa. Tämä ongelma on ratkaistu parannetulla URL-osoitteiden käsittelyllä. Kiitos Google Inc.:n Michal Zalewskille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1758

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin tapaan käsitellä DOM Range -objekteja liittyy use after free -ongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Ongelma on ratkaistu parannetulla DOM Range -objektien käsittelyllä. Kiitos Google Inc.:n Yaar Schnitmanille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1759

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin tavassa käsitellä Node.normalize-menetelmää on use after free -ongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on ratkaistu parannetulla Node.normalize-menetelmän käsittelyllä. Kiitos Mark Dowdille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1761

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin HTML-dokumentin alipuiden hahmontamiseen liittyy use after free -ongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on ratkaistu parannetulla HTML-dokumentin alipuiden hahmontamisella. Kiitos Google Inc.:n James Robinsonille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1762

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sivustojenvälisen komentosarjahyökkäyksen.

    Kuvaus: tekstialue-elementtien HTML-koodin käsittelyssä on suunnitteluongelma. Haitallisen verkkosivuston selaaminen saattaa johtaa sivustojenväliseen komentosarjahyökkäykseen. Tämä ongelma on ratkaistu parannetulla tekstialue-elementtien käsittelyllä. Kiitos Google Inc.:n Eduardo Vela Navalle (sirdarckcat) tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1764

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Vierailu verkkosivustolla, joka uudelleenohjaa lomakkeella lähetettyjä tietoja, voi johtaa tietojen paljastumiseen.

    Kuvaus: WebKitin tavassa käsitellä HTTP-uudelleenohjauksia on suunnitteluongelma. Kun lomakkeella lähetetyt tiedot ohjataan uudelleen sivustolle, jossa on myös uudelleenohjaus, lähetetyn lomakkeen sisältämät tiedot saattavat siirtyä myös kolmannelle sivustolle. Tämä ongelma on ratkaistu parannetulla HTTP-uudelleenohjauksen käsittelyllä. Kiitos WhatWebWhatin Marc Worrellille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1770

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin tekstisolmujen käsittelyyn liittyy tyypin tarkastusongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on korjattu parannetulla tyypin tarkastuksella. Kiitos TippingPointin Zero Day Initiativen parissa työskentelevälle team509:n wushille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1771

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin tapaan käsitellä kirjasimia liittyy use after free -ongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on ratkaistu parannetulla kirjasinten käsittelyllä. Tästä ongelmasta ilmoitti Apple.

  • WebKit

    CVE-ID: CVE-2010-1774

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin HTML-taulukoiden käsittelyssä on muistin rajojen ylitykseen liittyvä ongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on korjattu rajojen parannetun tarkastuksen avulla. Kiitos team509:n wushille tämän ongelman ilmoittamisesta.

  • WebKit

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallinen verkkosivusto saattaa kyetä päättelemään sivustot, joissa käyttäjä on vieraillut.

    Kuvaus: WebKitin CSS-sivujen :visited pseudo-luokan käsittelyyn liittyy suunnitteluongelma. Vaikutus: Haitallinen verkkosivusto voi pystyä päättelemään sivustot, joissa käyttäjä on vieraillut. Tämä päivitys rajoittaa verkkosivujen kykyä muotoilla sivuja sen perusteella, onko linkeissä vierailtu.

Huomautus: Safari 5.0 ja Safari 4.1 ratkaisevat samat turvallisuusongelmat. Safari 5.0 on käytettävissä Mac OS X 10.5-, Mac OS X 10.6- ja Microsoft Windows -järjestelmissä. Safari 4.1 on tarjolla Mac OS X 10.4 -järjestelmiin.

Julkaisupäivämäärä: