מידע על תוכן האבטחה של Safari 4.0.3

מסמך זה מתאר את תוכן האבטחה של Safari 4.0.3.

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד לביצוע חקירה מלאה בנושא ולהפצת מהדורות או רכיבי Patch חיוניים. למידע נוסף בנושא אבטחת מוצר של Apple, עיינו באתר האינטרנט אבטחת מוצר של Apple.

למידע על מפתח PGP לאבטחת מוצר של Apple, עיינו בנושא "כיצד להשתמש במפתח PGP לאבטחת מוצר של Apple".

היכן שניתן, מזהי CVE משמשים כסימוכין לפגיעויות לצורך קבלת מידע נוסף.

כדי ללמוד על עדכוני אבטחה נוספים, עיינו בנושא "עדכוני אבטחה של Apple."

Safari 4.0.3

  • CoreGraphics

    CVE-ID‏: CVE-2009-2468

    זמין עבור: Windows XP‏ ו-Windows Vista

    השפעה: ביקור באתר בעל מבנה זדוני עלול להוביל לסגירה לא צפויה של היישום או להפעלת קוד שרירותי

    תיאור: קיימת גלישת חוצץ ערימה במשיכת מחרוזות טקסט ארוכות. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה באמצעות בדיקת טווח משופרת. תודה ל-Will Drewry מ-Google Inc שדיווח על הבעיה.

  • ImageIO

    CVE-ID‏: CVE-2009-2188

    זמין עבור: Windows XP‏ ו-Windows Vista

    השפעה: פתיחת תמונה בעלת מבנה זדוני עלולה להוביל לסגירה לא צפויה של היישום או להפעלת קוד שרירותי

    תיאור: קיימת גלישת חוצץ ערימה בטיפול במטא-נתונים מסוג EXIF. הצגת תמונה בעלת מבנה זדוני עלולה להוביל לסגירה לא צפויה של היישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה באמצעות בדיקת טווח משופרת.

  • Safari

    CVE-ID‏: CVE-2009-2196

    זמין עבור: Mac OS X v10.4.11,‏ Mac OS X Server v10.4.11,‏ Mac OS X v10.5.7,‏ Mac OS X Server v10.5.7,‏ Mac OS X v10.5.8,‏ Mac OS X Server v10.5.8,‏ Windows XP‏ ו-Windows Vista

    השפעה: ייתכן שאתר בעל מבנה זדוני מקודם לתצוגת 'האתרים המובילים' של Safari

    תיאור: Safari 4 הציג את התכונה 'אתרים מובילים' כדי לספק מבט מהיר על אתרי האינטרנט המועדפים על המשתמש. אתר זדוני יכול לקדם אתרים שרירותיים לתצוגת 'האתרים המובילים' באמצעות פעולות אוטומטיות. ניתן להשתמש בזה כדי לאפשר מתקפת דיוג. הטיפול בבעיה זו נעשה על-ידי מניעה מביקורים אוטומטיים באתר האינטרנט להשפיע על רשימת 'האתרים המובילים'. רק אתרי אינטרנט שבהם המשתמש מבקר באופן ידני יכולים להיכלל ברשימת 'האתרים המובילים'. הערה, Safari מאפשר זיהוי אתרים מתחזים כברירת מחדל. מאז הצגת התכונה 'אתרים מובילים', אתרים מתחזים אינם מוצגים בתצוגה של 'אתרים מובילים'. תודה ל-Inferno מ-SecureThoughts.com שדיווח על הבעיה.

  • WebKit

    CVE-ID‏: CVE-2009-2195

    זמין עבור:Mac OS X v10.4.11,‏ Mac OS X Server v10.4.11,‏ Mac OS X v10.5.7,‏ Mac OS X Server v10.5.7,‏ Mac OS X v10.5.8,‏ Mac OS X Server v10.5.8,‏ Windows XP‏ ו-Windows Vista

    השפעה: ביקור באתר בעל מבנה זדוני עלול להוביל לסגירה לא צפויה של היישום או להפעלת קוד שרירותי

    תיאור: קיימת גלישת חוצץ בניתוח שמתבצע על ידי WebKit למספרי הנקודות הצפות. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה באמצעות בדיקת טווח משופרת. קרדיט: Apple.

  • WebKit

    CVE-ID‏: CVE-2009-2200

    זמין עבור:Mac OS X v10.4.11,‏ Mac OS X Server v10.4.11,‏ Mac OS X v10.5.7,‏ Mac OS X Server v10.5.7,‏ Mac OS X v10.5.8,‏ Mac OS X Server v10.5.8,‏ Windows XP‏ ו-Windows Vista

    השפעה: ביקור באתר בעל מבנה זדוני ולחיצה על Go בתיבת דו-שיח זדונית של תוסף עלולים להוביל לחשיפת מידע רגיש

    תיאור: WebKit מאפשר לתכונת עמוד התוספים של הרכיב 'הטבעה' להפנות לכתובות URL של קבצים. לחיצה על Go בתיבת הדו-שיח שמופיעה כאשר מתבצעת הפניה לסוג תוסף לא ידוע תנתב מחדש את כתובת ה-URL הרשומה בתכונת עמוד התוספים. דבר זה עלול לאפשר לתוקף מרוחק להפעיל כתובות URL של קבצים ב-Safari ולהוביל לחשיפה של מידע רגיש. עדכון זה מטפל בבעיה על ידי הגבלת סכמת כתובות ה-URL של עמוד התוספים ל-http או https. תודה ל-Alexios Fakos מ-n.runs AG שדיווח על הבעיה.

  • WebKit

    CVE-ID‏: CVE-2009-2199

    זמין עבור:Mac OS X v10.4.11,‏ Mac OS X Server v10.4.11,‏ Mac OS X v10.5.7,‏ Mac OS X Server v10.5.7,‏ Mac OS X v10.5.8,‏ Mac OS X Server v10.5.8,‏ Windows XP‏ ו-Windows Vista

    השפעה: תווים דומים בכתובת URL יכולים לשמש כדי להסוות אתר אינטרנט

    תיאור: ניתן להשתמש בתמיכה של International Domain Domain ‏(IDN) ובגופני Unicode המוטבעים ב-Safari ליצירת כתובת URL המכילה תווים דומים. כתובות אלה עלולות לשמש אתר זדוני להפניה של משתמשים לאתר מזויף, בעל מראה מטעה של דומיין לגיטימי. עדכון זה מטפל בבעיה על ידי תוספות לרשימת התווים הדומים הידועים ב-WebKit. יצירה של תווים דומים נעשית בשורת הכתובת, באמצעות Punycode. תודה ל-Chris Weber מ-Casaba Security ,LLC שדיווח על הבעיה.

חשוב: מידע על מוצרים שאינם מיוצרים על ידי Apple ניתן למטרות מידע בלבד ואינו מהווה המלצה או תמיכה של Apple. יש ליצור קשר עם הספק לקבלת מידע נוסף.

Published Date: