מידע על תוכן האבטחה של Safari 3.2
מסמך זה מתאר את תוכן האבטחה של Safari 3.2.
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד לביצוע חקירה מלאה בנושא ולהפצת מהדורות או רכיבי Patch חיוניים. למידע נוסף בנושא אבטחת מוצר של Apple, עיינו באתר האינטרנט אבטחת מוצר של Apple.
למידע על מפתח PGP לאבטחת מוצר של Apple, עיינו ב-"כיצד להשתמש במפתח PGP לאבטחת מוצר של Apple".
היכן שניתן, מזהי CVE משמשים כסימוכין לפגיעויות לצורך קבלת מידע נוסף.
כדי ללמוד על עדכוני אבטחה נוספים, עיינו ב"עדכוני אבטחה של Apple".
Safari 3.2
Safari
CVE-ID: CVE-2005-2096
זמין עבור: Windows XP או Windows Vista
השפעה: מספר פגיעויות ב-zlib 1.2.2
תיאור: קיימות מספר פגיעויות ב-zlib 1.2.2, והחמורות מביניהן עלולות להוביל למניעת שירות. עדכון זה מטפל בבעיות על-ידי עדכון ל-zlib 1.2.3. בעיות אלו אינן משפיעות על מערכות Mac OS X. תודה ל-Robbie Joosten מ-bioinformatics@school ול-David Gunnells מאוניברסיטת אלבמה בבירמינגהם על הדיווח על בעיות אלו.
Safari
CVE-ID: CVE-2008-1767
זמין עבור: Windows XP או Windows Vista
השפעה: עיבוד מסמך XML עלול להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: קיימת בעיה של גלישת חוצץ בערימה בספרייה libxslt. הצגת עמוד אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. מידע נוסף על התיקון שהוחל זמין ב-http://xmlsoft.org/XSLT/ בעיה זו אינה משפיעה על מערכות Mac OS X שעדכון האבטחה 2008-007 הוחל עליהן. תודה ל-Anthony de Almeida Lopes מ-Outpost24 AB ול-Chris Evans מ-Google Security Team על הדיווח על בעיה זו.
Safari
CVE-ID: CVE-2008-3623
זמין עבור: Windows XP או Windows Vista
השפעה: ביקור באתר אינטרנט בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: קיימת גלישת חוצץ בערימה בטיפול של CoreGraphics במרחבי צבעים. הצגת תמונה בעלת מבנה זדוני עלולה להוביל לסגירה לא צפויה של היישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה באמצעות בדיקת טווח משופרת. קרדיט: Apple.
Safari
CVE-ID: CVE-2008-2327
זמין עבור: Windows XP או Windows Vista
השפעה: הצגה של תמונת TIFF בעלת מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: מספר בעיות של גישה לזיכרון לא מאותחל קיימות באופן הטיפול של libTIFF בתמונות TIFF עם קידוד LZW. הצגה של תמונת TIFF בעלת מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה באמצעות אתחול זיכרון הולם ואימות נוסף של תמונות TIFF. בעיה זו מטופלת במערכות הפועלות עם Mac OS X v10.5.5 ואילך, ובמערכות Mac OS X v10.4.11 שעדכון האבטחה 2008-006 הוחל עליהן. קרדיט: Apple.
Safari
CVE-ID: CVE-2008-2332
זמין עבור: Windows XP או Windows Vista
השפעה: הצגה של תמונת TIFF בעלת מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: קיימת בעיה של השחתת זיכרון באופן הטיפול של ImageIO בתמונות TIFF. הצגה של תמונת TIFF בעלת מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. העדכון נותן מענה לבעיה באמצעות עיבוד משופר של תמונות TIFF. בעיה זו מטופלת במערכות הפועלות עם Mac OS X v10.5.5 ואילך, ובמערכות Mac OS X v10.4.11 שעדכון האבטחה 2008-006 הוחל עליהן. תודה ל-Robert Swiecki מ-Google Security Team על הדיווח על הבעיה.
Safari
CVE-ID: CVE-2008-3608
זמין עבור: Windows XP או Windows Vista
השפעה: הצגה של תמונת JPEG גדולה בעלת מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: קיימת בעיה של השחתת זיכרון באופן הטיפול של ImageIO בפרופילי ICC מוטבעים בתמונות JPEG. הצגה של תמונת JPEG גדולה בעלת מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי העדכון נותן מענה לבעיה באמצעות עיבוד משופר של פרופילי ICC. בעיה זו מטופלת במערכות הפועלות עם Mac OS X v10.5.5 ואילך, ובמערכות Mac OS X v10.4.11 שעדכון האבטחה 2008-006 הוחל עליהן. קרדיט: Apple.
Safari
CVE-ID: CVE-2008-3642
זמין עבור: Windows XP או Windows Vista
השפעה: הצגה של תמונת בעלת מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: קיימת גלישת חוצץ באופן הטיפול של תמונות בפרופיל ICC מוטבע. פתיחת תמונה בעלת מבנה זדוני עם פרופיל ICC מוטבע עלולה לגרום לסגירה לא צפויה של היישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה על ידי ביצוע אימות נוסף של פרופילי ICC בתמונות. בעיה זו אינה משפיעה על מערכות Mac OS X שעדכון האבטחה 2008-007 הוחל עליהן. קרדיט: Apple.
Safari
CVE-ID: CVE-2008-3644
זמין עבור: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP או Windows Vista
השפעה: מידע רגיש עלול להיחשף למשתמש עם מסוף מקומי
תיאור: ייתכן שהשבתת האפשרות למילוי אוטומטי של שדה בטופס לא תמנע אחסון של הנתונים שבשדה בזיכרון המטמון של דף הדפדפן. מצב זה עלול להוביל לחשיפה של מידע רגיש למשתמש מקומי. עדכון זה מטפל בבעיה על-ידי ניקוי הולם של נתוני הטופס. תודה לחוקר אנונימי על הדיווח על הבעיה.
WebKit
CVE-ID: CVE-2008-2303
זמין עבור: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP או Windows Vista
השפעה: גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: בעיית חתימה בטיפול של Safari באינדקסים של מערכי JavaScript עלולה להוביל לגישה לזיכרון מחוץ לטווח. ביקור באתר בעל מבנה זדוני עלולה להוביל לסגירה לא צפויה של היישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה על ידי ביצוע אימות נוסף של אינדקסים של מערכי JavaScript. הבעיה דווחה על ידי SkyLined מ-Google.
WebKit
CVE-ID: CVE-2008-2317
זמין עבור: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP או Windows Vista
השפעה: ביקור באתר אינטרנט בעל מבנה זדוני עלול לגרום לסגירה לא צפויה של היישום או להפעלת קוד שרירותי
תיאור: קיימת בעיה של השחתת זיכרון באופן הטיפול של WebCore ברכיבי גיליון סגנונות. ביקור באתר בעל מבנה זדוני עלולה להוביל לסגירה לא צפויה של היישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה באמצעות איסוף משופר של זבל. תודה לחוקר אנונימי שעובד עם Zero Day Initiative של TippingPoint ודיווח על הבעיה.
WebKit
CVE-ID: CVE-2008-4216
זמין עבור: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP או Windows Vista
השפעה: ביקור באתר אינטרנט בעל מבנה זדוני עלול להוביל לחשיפה של מידע רגיש
תיאור: הממשק של התוסף WebKit אינו חוסם את האפשרות של תוספים להפעיל כתובות URL מקומיות. ביקור באתר אינטרנט בעל מבנה זדוני עלול לאפשר לתוקף מרוחק להפעיל קבצים מקומיים ב-Safari, ומצב זה עלול להוביל לחשיפה של מידע רגיש. עדכון זה מטפל בבעיה על ידי הגבלת סוגי כתובות ה-URL שניתן להפעיל דרך ממשק התוסף. תודה ל-Billy Rios מ-Microsoft ול-Nitesh Dhanjani מ-Ernst & Young על הדיווח על בעיה זו.
חשוב: אזכור של אתרים ומוצרים של צד שלישי מיועד למטרות מידע בלבד ואינו מהווה המלצה או תמיכה. Apple אינה נוטלת על עצמה כל אחריות בנוגע לבחירה, לביצועים או לשימוש במידע או במוצרים שנמצאים באתרי צד שלישי. Apple מספקת זאת רק לנוחות המשתמשים שלנו. Apple לא בדקה את המידע שנמצא באתרים אלה ולא הציגה שום מצג לגבי הדיוק או האמינות שלו. קיימים סיכונים הטמונים בשימוש במידע או במוצרים הנמצאים באינטרנט, ו-Apple אינה נוטלת על עצמה כל אחריות בנושא זה. עליכם להבין שאתר של צד שלישי אינו תלוי ב-Apple ושל-Apple אין שליטה על התוכן באתר זה. יש ליצור קשר עם הספק לקבלת מידע נוסף.