This article has been archived and is no longer updated by Apple.

מידע על תוכן האבטחה של Safari 4.0.4

מסמך זה מתאר את תוכן האבטחה של Safari 4.0.4.

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד לביצוע חקירה מלאה בנושא ולהפצת מהדורות או רכיבי Patch חיוניים. למידע נוסף בנושא אבטחת מוצר של Apple, עיינו באתר האינטרנט אבטחת מוצר של Apple.

למידע על מפתח PGP לאבטחת מוצר של Apple, עיינו בנושא "כיצד להשתמש במפתח PGP לאבטחת מוצר של Apple".

היכן שניתן, מזהי CVE משמשים כסימוכין לפגיעויות לצורך קבלת מידע נוסף.

כדי ללמוד על עדכוני אבטחה נוספים, עיינו בנושא "עדכוני אבטחה של Apple."

Safari 4.0.4

  • ColorSync

    CVE-ID‏: CVE-2009-2804

    זמין עבור: Windows 7‏, Windows Vista‏, Windows XP

    השפעה: הצגה של תמונה בעלת מבנה זדוני עם פרופיל צבעים מוטבע עלולה לגרום לסגירה לא צפויה של היישום או להפעלת קוד שרירותי

    תיאור: קיימת גלישת מספרים שלמים בטיפול בתמונות בעלות פרופיל צבעים מוטבע, שעלולה לגרום לגלישת חוצץ בערימה. פתיחת תמונה בעלת מבנה זדוני עם פרופיל צבעים מוטבע עלולה לגרום לסגירה לא צפויה של היישום או להפעלת קוד שרירותי. פתרון הבעיה הוא ביצוע אימות נוסף של פרופילי צבעים. בעיה זו אינה משפיעה על מערכות Mac OS X v10.6. הבעיה כבר טופלה בעדכון אבטחה 2009-005 למערכות Mac OS X 10.5.8. קרדיט: Apple.

  • libxml

    CVE-ID‏: CVE-2009-2414‏, CVE-2009-2416

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11, ‏Windows 7‏, Windows Vista‏, Windows XP

    השפעה: ניתוח מבנה של תוכן XML בעל מבנה זדוני עלול לגרום לסיום בלתי צפוי של פעולת היישום

    תיאור: מספר בעיות use-after-free קיימות ב-libxml2, כאשר החמורה ביותר מביניהן עלולה לגרום לסיום בלתי צפוי של פעולת היישום. עדכון זה פותר את הבעיות באמצעות טיפול משופר בזיכרון. הבעיות כבר טופלו ב-Mac OS X 10.6.2 ובעדכון אבטחה 2009-006 למערכות Mac OS X 10.5.8.

  • Safari

    CVE-ID:‏ CVE-2009-2842

    זמין עבור Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X גרסאות 10.6.1 ו-10.6.2‏, Mac OS X Server גרסאות 10.6.1 ו-10.6.2, Windows 7‏, Windows Vista‏, Windows XP

    השפעה: שימוש באפשרויות תפריט הקיצורים באתר בעל מבנה זדוני עלול לגרום לחשיפת מידע מקומי

    תיאור: קיימת בעיה בטיפול של Safari בניווטים שמופעלים באמצעות האפשרויות 'פתח תמונה בכרטיסיה חדשה', 'פתח תמונה בחלון חדש' או 'פתח קישור בכרטיסיה חדשה' בתפריט הקיצורים. השימוש באפשרויות אלה באתר בעל מבנה זדוני עלול לטעון קובץ HTML מקומי, דבר שיגרום לחשיפת מידע רגיש. הבעיה מטופלת על ידי השבתת אפשרויות תפריט הקיצור האלה כשהיעד של קישור הוא קובץ מקומי.

  • WebKit

    CVE-ID‏: CVE-2009-2816

    זמין עבור Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X גרסאות 10.6.1 ו-10.6.2‏, Mac OS X Server גרסאות 10.6.1 ו-10.6.2, Windows 7‏, Windows Vista‏, Windows XP

    השפעה: ביקור באתר בעל מבנה זדוני עלול לגרום לפעולות בלתי צפויות באתרים אחרים

    תיאור: קיימת בעיה בהטמעת שיתוף משאבים ממקורות שונים על ידי WebKit. לפני ש-WebKit מאפשר לדף ממקור אחד לגשת למשאב במקור אחר, הוא שולח בקשת קדם-הפעלה לשרת של המקור השני כדי לקבל אישור גישה אל המשאב. בבקשת הקדם-הפעלה, WebKit כולל כותרות HTTP מותאמות אישית שמתקבלות על ידי הדף שמבקש גישה. דבר זה עלול לאפשר זיוף בקשות חוצה-אתרים. הבעיה מטופלת על ידי הסרת כותרות HTTP מבקשות קדם-הפעלה. קרדיט: Apple.

  • WebKit

    CVE-ID‏: CVE-2009-3384

    זמין עבור: Windows 7‏, Windows Vista‏, Windows XP

    השפעה: גישה לשרת FTP בעל מבנה זדוני עלולה לגרום לסיום בלתי צפוי של פעולת יישום, לחשיפת מידע או להפעלת קוד שרירותי

    תיאור: קיימות פגיעויות מרובות בטיפול של WebKit ברישומי ספריות FTP. גישה לשרת FTP בעל מבנה זדוני עלולה לגרום לחשיפת מידע, לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיות הללו באמצעות ניתוח משופר של מבנה הרישומים בספריות FTP. הבעיות האלה לא משפיעות על Safari במערכות Mac OS X. תודה ל-Michal Zalewski מ-Google Inc.‎ עבור הדיווח על הבעיות.

  • WebKit

    CVE-ID‏: CVE-2009-2841

    זמין עבור Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X גרסאות 10.6.1 ו-10.6.2‏, Mac OS X Server גרסאות 10.6.1 ו-10.6.2

    השפעה: היישום 'דואר' עלול לטעון תוכן וידאו ואודיו מרחוק כאשר האפשרות של טעינת תמונות מרחוק מושבתת

    תיאור: כאשר WebKit נתקל ברכיב מדיה בפורמט HTML 5 שמצביע אל משאב חיצוני, הוא לא מנפיק קריאה חוזרת (callback) של טעינת משאב כדי לבדוק אם יש לטעון את המשאב. דבר זה עלול לגרום לבקשות בלתי רצויות לשרתים מרוחקים. למשל, שולח של הודעת דוא"ל במבנה HTML עלול להשתמש בבעיה הזו כדי לדעת אם ההודעה נקראה. הבעיה טופלה על ידי יצירת קריאות חוזרות (callback) של טעינת משאב כאשר WebKit נתקל ברכיב מדיה בפורמט HTML 5. בעיה זו אינה משפיעה על Safari במערכות Windows.

חשוב: מידע על מוצרים שאינם מיוצרים על ידי Apple ניתן למטרות מידע בלבד ואינו מהווה המלצה או תמיכה של Apple. יש ליצור קשר עם הספק לקבלת מידע נוסף.

Published Date: