This article has been archived and is no longer updated by Apple.

מידע על תוכן האבטחה של Safari 3.2

מסמך זה מתאר את תוכן האבטחה של Safari 3.2.

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד לביצוע חקירה מלאה בנושא ולהפצת מהדורות או רכיבי Patch חיוניים. למידע נוסף בנושא אבטחת מוצר של Apple, עיינו באתר האינטרנט אבטחת מוצר של Apple.

למידע על מפתח PGP לאבטחת מוצר של Apple, עיינו ב-"כיצד להשתמש במפתח PGP לאבטחת מוצר של Apple".

היכן שניתן, מזהי CVE משמשים כסימוכין לפגיעויות לצורך קבלת מידע נוסף.

כדי ללמוד על עדכוני אבטחה נוספים, עיינו ב"עדכוני אבטחה של Apple".

Safari 3.2

  • Safari

    ‏CVE-ID: ‏CVE-2005-2096

    זמין עבור: Windows XP או Windows Vista

    השפעה: מספר פגיעויות ב-zlib 1.2.2

    תיאור: קיימות מספר פגיעויות ב-zlib 1.2.2, והחמורות מביניהן עלולות להוביל למניעת שירות. עדכון זה מטפל בבעיות על-ידי עדכון ל-zlib 1.2.3. בעיות אלו אינן משפיעות על מערכות Mac OS X. תודה ל-Robbie Joosten מ-bioinformatics@school ול-David Gunnells מאוניברסיטת אלבמה בבירמינגהם על הדיווח על בעיות אלו.

  • Safari

    ‏CVE-ID: ‏CVE-2008-1767

    זמין עבור: Windows XP או Windows Vista

    השפעה: עיבוד מסמך XML עלול להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת בעיה של גלישת חוצץ בערימה בספרייה libxslt. הצגת עמוד אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. מידע נוסף על התיקון שהוחל זמין ב-http://xmlsoft.org/XSLT/ בעיה זו אינה משפיעה על מערכות Mac OS X שעדכון האבטחה 2008-007 הוחל עליהן. תודה ל-Anthony de Almeida Lopes מ-Outpost24 AB ול-Chris Evans מ-Google Security Team על הדיווח על בעיה זו.

  • Safari

    ‏CVE-ID: ‏CVE-2008-3623

    זמין עבור: Windows XP או Windows Vista

    השפעה: ביקור באתר אינטרנט בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת גלישת חוצץ בערימה בטיפול של CoreGraphics במרחבי צבעים. הצגת תמונה בעלת מבנה זדוני עלולה להוביל לסגירה לא צפויה של היישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה באמצעות בדיקת טווח משופרת. קרדיט: Apple.

  • Safari

    ‏CVE-ID: ‏CVE-2008-2327

    זמין עבור: Windows XP או Windows Vista

    השפעה: הצגה של תמונת TIFF בעלת מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: מספר בעיות של גישה לזיכרון לא מאותחל קיימות באופן הטיפול של libTIFF בתמונות TIFF עם קידוד LZW. הצגה של תמונת TIFF בעלת מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה באמצעות אתחול זיכרון הולם ואימות נוסף של תמונות TIFF. בעיה זו מטופלת במערכות הפועלות עם Mac OS X v10.5.5 ואילך, ובמערכות Mac OS X v10.4.11 שעדכון האבטחה 2008-006 הוחל עליהן. קרדיט: Apple.

  • Safari

    ‏CVE-ID: ‏CVE-2008-2332

    זמין עבור: Windows XP או Windows Vista

    השפעה: הצגה של תמונת TIFF בעלת מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת בעיה של השחתת זיכרון באופן הטיפול של ImageIO בתמונות TIFF. הצגה של תמונת TIFF בעלת מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. העדכון נותן מענה לבעיה באמצעות עיבוד משופר של תמונות TIFF. בעיה זו מטופלת במערכות הפועלות עם Mac OS X v10.5.5 ואילך, ובמערכות Mac OS X v10.4.11 שעדכון האבטחה 2008-006 הוחל עליהן. תודה ל-Robert Swiecki מ-Google Security Team על הדיווח על הבעיה.

  • Safari

    ‏CVE-ID: ‏CVE-2008-3608

    זמין עבור: Windows XP או Windows Vista

    השפעה: הצגה של תמונת JPEG גדולה בעלת מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת בעיה של השחתת זיכרון באופן הטיפול של ImageIO בפרופילי ICC מוטבעים בתמונות JPEG. הצגה של תמונת JPEG גדולה בעלת מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי העדכון נותן מענה לבעיה באמצעות עיבוד משופר של פרופילי ICC. בעיה זו מטופלת במערכות הפועלות עם Mac OS X v10.5.5 ואילך, ובמערכות Mac OS X v10.4.11 שעדכון האבטחה 2008-006 הוחל עליהן. קרדיט: Apple.

  • Safari

    ‏CVE-ID: ‏CVE-2008-3642

    זמין עבור: Windows XP או Windows Vista

    השפעה: הצגה של תמונת בעלת מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת גלישת חוצץ באופן הטיפול של תמונות בפרופיל ICC מוטבע. פתיחת תמונה בעלת מבנה זדוני עם פרופיל ICC מוטבע עלולה לגרום לסגירה לא צפויה של היישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה על ידי ביצוע אימות נוסף של פרופילי ICC בתמונות. בעיה זו אינה משפיעה על מערכות Mac OS X שעדכון האבטחה 2008-007 הוחל עליהן. קרדיט: Apple.

  • Safari

    ‏CVE-ID: ‏CVE-2008-3644

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X v10.5.5‏, Windows XP או Windows Vista

    השפעה: מידע רגיש עלול להיחשף למשתמש עם מסוף מקומי

    תיאור: ייתכן שהשבתת האפשרות למילוי אוטומטי של שדה בטופס לא תמנע אחסון של הנתונים שבשדה בזיכרון המטמון של דף הדפדפן. מצב זה עלול להוביל לחשיפה של מידע רגיש למשתמש מקומי. עדכון זה מטפל בבעיה על-ידי ניקוי הולם של נתוני הטופס. תודה לחוקר אנונימי על הדיווח על הבעיה.

  • WebKit

    ‏CVE-ID: ‏CVE-2008-2303

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X v10.5.5‏, Windows XP או Windows Vista

    השפעה: גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: בעיית חתימה בטיפול של Safari באינדקסים של מערכי JavaScript עלולה להוביל לגישה לזיכרון מחוץ לטווח. ביקור באתר בעל מבנה זדוני עלולה להוביל לסגירה לא צפויה של היישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה על ידי ביצוע אימות נוסף של אינדקסים של מערכי JavaScript. הבעיה דווחה על ידי SkyLined מ-Google.

  • WebKit

    ‏CVE-ID: ‏CVE-2008-2317

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X v10.5.5‏, Windows XP או Windows Vista

    השפעה: ביקור באתר אינטרנט בעל מבנה זדוני עלול לגרום לסגירה לא צפויה של היישום או להפעלת קוד שרירותי

    תיאור: קיימת בעיה של השחתת זיכרון באופן הטיפול של WebCore ברכיבי גיליון סגנונות. ביקור באתר בעל מבנה זדוני עלולה להוביל לסגירה לא צפויה של היישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה באמצעות איסוף משופר של זבל. תודה לחוקר אנונימי שעובד עם Zero Day Initiative של TippingPoint ודיווח על הבעיה.

  • WebKit

    ‏CVE-ID: ‏CVE-2008-4216

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X v10.5.5‏, Windows XP או Windows Vista

    השפעה: ביקור באתר אינטרנט בעל מבנה זדוני עלול להוביל לחשיפה של מידע רגיש

    תיאור: הממשק של התוסף WebKit אינו חוסם את האפשרות של תוספים להפעיל כתובות URL מקומיות. ביקור באתר אינטרנט בעל מבנה זדוני עלול לאפשר לתוקף מרוחק להפעיל קבצים מקומיים ב-Safari, ומצב זה עלול להוביל לחשיפה של מידע רגיש. עדכון זה מטפל בבעיה על ידי הגבלת סוגי כתובות ה-URL שניתן להפעיל דרך ממשק התוסף. תודה ל-Billy Rios מ-Microsoft ול-Nitesh Dhanjani מ-Ernst & Young על הדיווח על בעיה זו.

חשוב: אזכור של אתרים ומוצרים של צד שלישי מיועד למטרות מידע בלבד ואינו מהווה המלצה או תמיכה. Apple אינה נוטלת על עצמה כל אחריות בנוגע לבחירה, לביצועים או לשימוש במידע או במוצרים שנמצאים באתרי צד שלישי. Apple מספקת זאת רק לנוחות המשתמשים שלנו. Apple לא בדקה את המידע שנמצא באתרים אלה ולא הציגה שום מצג לגבי הדיוק או האמינות שלו. קיימים סיכונים הטמונים בשימוש במידע או במוצרים הנמצאים באינטרנט, ו-Apple אינה נוטלת על עצמה כל אחריות בנושא זה. עליכם להבין שאתר של צד שלישי אינו תלוי ב-Apple ושל-Apple אין שליטה על התוכן באתר זה. יש ליצור קשר עם הספק לקבלת מידע נוסף.

Published Date: