מידע על תוכן האבטחה של Safari 3.1.2 ל-Windows

מסמך זה מתאר את תוכן האבטחה של Safari 3.1.2 ל-Windows, שאפשר להורדה ולהתקנה באמצעות העדפות 'עדכוני תוכנה' או מתוך ההורדות של Apple.

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד לביצוע חקירה מלאה בנושא ולהפצת מהדורות או רכיבי Patch חיוניים. למידע נוסף בנושא אבטחת מוצר של Apple, עיינו באתר האינטרנט אבטחת מוצר של Apple.

למידע על מפתח PGP לאבטחת מוצר של Apple, עיינו בנושא "כיצד להשתמש במפתח PGP לאבטחת מוצר של Apple."

היכן שאפשר, מזהי CVE ID משמשים כסימוכין לפגיעויות לצורך קבלת מידע נוסף.

כדי ללמוד על עדכוני אבטחה נוספים, עיינו בנושא "עדכוני אבטחה של Apple."

Safari 3.1.2 ל-Windows

Safari

CVE-ID: CVE-2008-1573

זמין עבור: Windows XP או Vista

השפעה: הצגת תמונת BMP או GIF בעלת מבנה זדוני עלולה להוביל לחשיפת מידע.

תיאור: קריאת זיכרון מחוץ לטווח עלולה להתרחש בטיפול בתמונות BMP ו-GIF, דבר שעלול להוביל לחשיפת תוכן הזיכרון. העדכון מטפל בבעיה על ידי ביצוע אימות נוסף לתמונות BMP ו-GIF. הטיפול בבעיה נעשה במערכות שמותקנת עליהן Mac OS X 10.5.3 ו-Mac OS X 10.4.11 עם עדכון האבטחה 2008-003. תודה לג'ינוואל קולדווינד (Gynvael Coldwind) מ-Hispasec על הדיווח על הבעיה.

Safari

CVE-ID: CVE-2008-2540

זמין עבור: Windows XP או Vista

השפעה: שמירת קבצים לא מהימנים בשולחן העבודה של Windows עלולה להוביל להפעלת קוד שרירותי.

תיאור: קיימת בעיה באופן שבו שולחן העבודה של Windows מטפל בקובצי פעולה. שמירת קובץ לא מהימן בשולחן העבודה של Windows עלולה לגרום לבעיה ולהוביל להפעלת קוד שרירותי. דפדפני אינטרנט הם אמצעי שבו ניתן לשמור קבצים בשולחן העבודה. כדי לסייע בפתרון בעיה זו, דפדפן Safari עודכן כדי להנחות את המשתמשים לפני שמירת קובץ הורדה. כמו כן, מיקום ההורדה המוגדר כברירת מחדל ישתנה לתיקיה 'הורדות' של המשתמשים ב-Windows Vista ולתיקיית 'מסמכים' של המשתמש ב-Windows XP. בעיה זו אינה קיימת במערכות שמותקנת עליהן Mac OS X. מידע נוסף זמין בכתובת http://www.microsoft.com/technet/security/advisory/953818.mspx . אנו מודים לאביב ראף (Aviv Raff) על הדיווח על הבעיה.

Safari

CVE-ID: CVE-2008-2306

זמין עבור: Windows XP או Vista

השפעה: גישה לאתר זדוני שנמצא באזור מהימן של Internet Explorer עלולה להוביל להפעלה אוטומטית של קוד שרירותי.

תיאור: אם אתר אינטרנט נמצא באזור Internet Explorer 7 כשההגדרה 'הפעלת יישומים וקבצים לא בטוחים' מוגדרת כ'הפעל', או אם אתר אינטרנט נמצא באזור Local intranet או 'אתרים מהימנים' של Internet Explorer 6‏, Safari יפעיל באופן אוטומטי קובצי את קובצי הפעולה שהורדו מהאתר. העדכון מטפל בבעיה בכך שאינו מפעיל אוטומטית את קובצי ההרצה שהורדו, ועל ידי הנחיית המשתמשים לפני הורדת קובץ אם ההגדרה 'הנחה תמיד' מופעלת. בעיה זו אינה קיימת במערכות שעליהן מותקנת Mac OS X. תודה לוויל דורמן (Will Dormann) מ-CERT/CC על הדיווח על הבעיה. אנו מכירים בתרומה של Microsoft Security Response Center למאמץ המשותף כדי לטפל בבעיה זו.

WebKit

CVE-ID: CVE-2008-2307

זמין עבור: Windows XP או Vista

השפעה: גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי.

תיאור: קיימת בעיית השחתת זיכרון בטיפול של WebKit במערכי JavaScript. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. העדכון נותן מענה לבעיה באמצעות בדיקת חסמים משופרת. תודה לג'יימס אורקהארט (James Urquhart) על הדיווח על הבעיה.