Tietoja Safari 5.0.1- ja Safari 4.1.1 -selainten turvallisuussisällöstä

Tämä asiakirja käsittelee Safari 5.0.1:n ja Safari 4.1.1:n turvallisuussisältöä.

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE ID -tunnuksia käytetään viittaamaan haavoittuvuuksien lisätietoihin mahdollisuuksien mukaan.

Tietoja muista turvallisuuspäivityksistä on artikkelissa Applen turvallisuuspäivitykset.

Safari 5.0.1 ja Safari 4.1.1

  • Safari

    CVE-ID: CVE-2010-1778

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen RSS-syötteen käyttäminen saattaa aiheuttaa sen, että käyttäjän järjestelmästä lähetetään tiedostoja etäpalvelimeen.

    Kuvaus: Safarin RSS-syötteiden käsittelyssä on sivustojenvälisiin komentosarjoihin liittyvä ongelma. Haitallisen RSS-syötteen käyttäminen saattaa aiheuttaa sen, että käyttäjän järjestelmästä lähetetään tiedostoja etäpalvelimeen. Ongelma on ratkaistu parannetulla RSS-syötteiden käsittelyllä. Kiitos Google Security Teamin Billy Riosille tämän ongelman ilmoittamisesta.

  • Safari

    CVE-ID: CVE-2010-1796

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Safarin Automaattinen täyttö -ominaisuus saattaa paljastaa tietoja verkkosivustoille ilman käyttäjän vaikutusta.

    Kuvaus: Safarin Automaattinen täyttö -ominaisuus pystyy täyttämään automaattisesti verkkolomakkeita käyttämällä Mac OS X:n Osoitekirjassa, Outlookissa tai Windowsin osoitekirjassa olevia tietoja.  Automaattinen täyttö on suunniteltu niin, että sen toimimiseen verkkolomakkeessa vaaditaan käyttäjän toimenpiteitä. Toteuttamisongelman vuoksi haitallinen verkkosivusto pystyy laukaisemaan Automaattisen täytön ilman käyttäjän vaikutusta. Tämä saattaa johtaa käyttäjän osoitekirjakortissa olevien tietojen paljastumiseen. Ongelman laukaisemiseen vaaditaan seuraavat kaksi tilannetta. Ensinnäkin Safarin asetusten Automaattinen täyttö -kohdassa täytyy olla valittuna Täytä automaattisesti verkkolomakkeet käyttämällä Osoitekirjan kortin tietoja -valintaneliö. Toiseksi käyttäjän Osoitekirjassa on oltava kortti, joka on merkitty "Omaksi kortiksi". Ainoastaan kyseisessä kortissa oleviin tietoihin pääsee Automaattisen täytön kautta. Tämä ongelma on ratkaistu estämällä Automaattista täyttöä käyttämästä tietoja ilman käyttäjän vaikutusta. Ongelma ei koske laitteita, joissa on iOS. Kiitos WhiteHat Securityn Jeremiah Grossmanille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1780

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin tapaan käsitellä elementtien kohdistamista liittyy use after free -ongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Ongelma on ratkaistu parannetulla elementin kohdistuksen käsittelyllä. Kiitos Google Inc.:n Tony Changille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1782

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin tapaan hahmontaa tekstiin sidottuja elementtejä liittyy muistin vioittumisongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on korjattu rajojen parannetun tarkastuksen avulla. Kiitos team509:n wushille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1783

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin tavassa käsitellä tekstisolmuihin tehtyjä dynaamisia muutoksia on muistin vioittumisongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on korjattu parannetulla muistin hallinnalla.

  • WebKit

    CVE-ID: CVE-2010-1784

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin CSS-laskurien käsittelyssä on muistin vioittumisongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on korjattu parannetulla muistin hallinnalla. Kiitos TippingPointin Zero Day Initiativen parissa työskentelevälle team509:n wushille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1785

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin tavassa käsitellä :first-letter- ja :first-line-pseudo-elementtejä SVG-tekstielementeissä on alustamattoman muistin käyttöön liittyvä ongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on ratkaistu jättämällä :first-letter- tai :first-line-pseudo-elementit hahmontamatta SVG-tekstielementeissä. Kiitos TippingPointin Zero Day Initiativen parissa työskentelevälle team509:n wushille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1786

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin tapaan käsitellä foreignObject-elementtejä SVG-dokumenteissa liittyy use after free -ongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on ratkaistu SVG-dokumenttien lisätarkistuksella. Kiitos TippingPointin Zero Day Initiativen parissa työskentelevälle team509:n wushille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1787

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin tapaan käsitellä kelluvia elementtejä SVG-dokumenteissa liittyy muistin vioittumisongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on korjattu parannetulla muistin hallinnalla. Kiitos TippingPointin Zero Day Initiativen parissa työskentelevälle team509:n wushille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1788

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin use-elementtien käsittelyssä SVG-dokumenteissa on muistin vioittumisongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa sovelluksen odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on ratkaistu parannetulla use-elementtien käsittelyllä SVG-dokumenteissa. Kiitos Google Inc.:n Justin Schuhille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1789

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin JavaScript-merkkijono-objektien käsittelyssä on kekopuskurin ylivuoto. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on korjattu rajojen parannetun tarkastuksen avulla. Tästä ongelmasta ilmoitti Apple.

  • WebKit

    CVE-ID: CVE-2010-1790

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin tavassa käsitellä juuri ajoissa koottuja JavaScript-pätkiä on paluuongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on korjattu parannetulla synkronoinnilla.

  • WebKit

    CVE-ID: CVE-2010-1791

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin JavaScript-taulukoiden käsittelyyn liittyy allekirjoitusongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on ratkaistu JavaScript-taulukkohakemistojen parannetulla käsittelyllä. Kiitos Natalie Silvanovichille tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1792

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin säännöllisten lausekkeiden käsittelyyn liittyy muistin vioittumisongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Ongelma on ratkaistu parannetulla säännöllisten lausekkeiden käsittelyllä. Kiitos Szegedin yliopiston Peter Vargalle tämän ongelman ilmoittamisesta.

  • WebKit

    CVE-ID: CVE-2010-1793

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 tai uudempi, Mac OS X Server 10.6.2 tai uudempi, Windows 7, Windows Vista, Windows XP SP2 tai uudempi

    Vaikutus: Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitin tapaan käsitellä font-face- ja use-elementtejä SVG-dokumenteissa liittyy use after free -ongelma. Haitallisen verkkosivuston selaaminen saattaa aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä ongelma on ratkaistu parannetulla font-face- ja use-elementtien käsittelyllä SVG-dokumenteissa. Kiitos OUSPG:n Aki Helinille tämän ongelman ilmoittamisesta.

Julkaisupäivämäärä: