This article has been archived and is no longer updated by Apple.

מידע על תוכן האבטחה של Safari 5.0.1 ושל Safari 4.1.1

מסמך זה מתאר את תוכן האבטחה של Safari 5.0.1 ושל Safari 4.1.1.

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד לביצוע חקירה מלאה בנושא ולהפצת מהדורות או רכיבי Patch חיוניים. למידע נוסף בנושא אבטחת מוצר של Apple, עיינו באתר האינטרנט אבטחת מוצר של Apple.

למידע על מפתח PGP לאבטחת מוצר של Apple, עיינו בנושא "כיצד להשתמש במפתח PGP לאבטחת מוצר של Apple".

היכן שניתן, מזהי CVE משמשים כסימוכין לפגיעויות לצורך קבלת מידע נוסף.

כדי ללמוד על עדכוני אבטחה נוספים, עיינו בנושא "עדכוני אבטחה של Apple".

Safari 5.0.1 ו-Safari 4.1.1

  • Safari

    • CVE-ID: CVE-2010-1778

    • זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    • השפעה: בגישה ל-Feed של RSS שנוצר בזדון ניתן לשלוח קבצים ממערכת המשתמש לשרת מרוחק

    • תיאור: קיימת בעיית סקריפטים חוצת-אתרים בטיפול של Safari בהזנות RSS. בגישה ל-Feed של RSS שנוצר בזדון ניתן לשלוח קבצים ממערכת המשתמש לשרת מרוחק. הבעיה מטופלת באמצעות טיפול משופר בהזנות RSS. תודה ל-Billy Rios מ-Google Security Team על הדיווח על הבעיה.

  • Safari

    • CVE-ID: CVE-2010-1796

    • זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    • השפעה: התכונה 'מילוי אוטומטי' של Safari עלולה לחשוף מידע לאתרי אינטרנט ללא אינטראקציה של המשתמש

    • תיאור: התכונה 'מילוי אוטומטי' של Safari יכולה למלא טפסים מקוונים באופן אוטומטי באמצעות מידע ייעודי בפנקס הכתובות של Mac OS X, ב-Outlook או בפנקס הכתובות של Windows. בהתאם לתכנון, יש צורך בפעולת משתמש כדי שהתכונה 'מילוי אוטומטי' תפעל בטופס מקוון. קיימת בעיית הטמעה שמאפשרת לאתרים בעלי מבנה זדוני להפעיל את התכונה 'מילוי אוטומטי' ללא אינטראקציה של המשתמש. מצב זה יכול להביא לחשיפת מידע שנמצא בכרטיס 'פנקס הכתובות' של המשתמש. כדי לשחזר את הבעיה, נדרשים שני המצבים הבאים. ראשית, בהעדפות של Safari, תחת האפשרות 'מילוי אוטומטי', יש לסמן את תיבת הסימון 'מילוי אוטומטי של טפסים מקוונים באמצעות פרטים מכרטיס פנקס הכתובות שלי'. שנית, בפנקס הכתובות של המשתמש יש להקצות כרטיס ייעודי שנקרא 'הכרטיס שלי'. התכונה 'מילוי אוטומטי' תוכל לגשת רק למידע שבכרטיס הספציפי הזה. הבעיה טופלה על ידי כך שנמנעה מהתכונה 'מילוי אוטומטי' האפשרות להשתמש במידע ללא פעולה של המשתמש. אין השפעה על מכשירי iOS. תודה ל-Jeremiah Grossman מ-WhiteHat Security על הדיווח על הבעיה.

  • WebKit

    • CVE-ID: CVE-2010-1780

    • זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    • השפעה: ביקור באתר אינטרנט בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי

    • תיאור: קיימת בעיית שימוש לאחר שחרור בטיפול של WebKit במיקוד רכיבים. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. הבעיה טופלה על ידי טיפול משופר במיקוד רכיבים. תודה ל-Tony Chang מ-Google Inc.‎ על הדיווח על הבעיה.

  • WebKit

    • CVE-ID: CVE-2010-1782

    • זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    • השפעה: ביקור באתר אינטרנט בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי

    • תיאור: קיימת בעיית השחתת זיכרון בעיבוד של רכיבים מוטמעים על-ידי WebKit. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. בעיה זו מטופלת באמצעות בדיקת טווחים משופרת. תודה ל-Wushi מ-team509 על הדיווח על הבעיה.

  • WebKit

    • CVE-ID: CVE-2010-1783

    • זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    • השפעה: ביקור באתר אינטרנט בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי

    • תיאור: קיימת בעיה של השחתת זיכרון בטיפול של WebKit בשינויים דינמיים בצומתי טקסט. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. בעיה זו טופלה באמצעות ניהול זיכרון משופר.

  • WebKit

    • CVE-ID: CVE-2010-1784

    • זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    • השפעה: ביקור באתר אינטרנט בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי

    • תיאור: קיימת בעיה של השחתת זיכרון בטיפול של WebKit במוני CSS. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. בעיה זו טופלה באמצעות ניהול זיכרון משופר. תודה ל-wushi מ-team509, בעבודה עם Zero Day Initiative של TippingPoint, עבור הדיווח על הבעיה.

  • WebKit

    • CVE-ID: CVE-2010-1785

    • זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    • השפעה: ביקור באתר אינטרנט בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי

    • תיאור: קיימת בעיית גישה לזיכרון לא מאותחל בטיפול של WebKit בפסאודו-רכיבים ‎:first-letter ו-‎:first-line ברכיבי טקסט מסוג SVG. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. הבעיה טופלה על ידי מניעת העיבוד של הפסאודו-רכיבים ‎:first-letter ו-‎:first-line ברכיבי טקסט מסוג SVG. תודה ל-wushi מ-team509, בעבודה עם Zero Day Initiative של TippingPoint, עבור הדיווח על הבעיה.

  • WebKit

    • CVE-ID: CVE-2010-1786

    • זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    • השפעה: ביקור באתר אינטרנט בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי

    • תיאור: קיימת בעיית שימוש לאחר שחרור בטיפול של WebKit ברכיבי foreignObject במסמכי SVG. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. בעיה זו טופלה באמצעות אימות נוסף של מסמכי SVG. תודה ל-wushi מ-team509, בעבודה עם Zero Day Initiative של TippingPoint, עבור הדיווח על הבעיה.

  • WebKit

    • CVE-ID: CVE-2010-1787

    • זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    • השפעה: ביקור באתר אינטרנט בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי

    • תיאור: קיימת בעיה של השחתת זיכרון בטיפול של WebKit ברכיבים צפים במסמכי SVG. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. בעיה זו טופלה באמצעות ניהול זיכרון משופר. תודה ל-wushi מ-team509, בעבודה עם Zero Day Initiative של TippingPoint, עבור הדיווח על הבעיה.

  • WebKit

    • CVE-ID: CVE-2010-1788

    • זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    • השפעה: ביקור באתר אינטרנט בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי

    • תיאור: קיימת בעיה של השחתת זיכרון בטיפול של WebKit ברכיבי 'use' במסמכי SVG. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. בעיה זו טופלה באמצעות טיפול משופר ברכיבי 'use' במסמכי SVG. תודה ל-Justin Schuh מ-Google Inc.‎ על הדיווח על הבעיה.

  • WebKit

    • CVE-ID: CVE-2010-1789

    • זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    • השפעה: ביקור באתר אינטרנט בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי

    • תיאור: קיימת בעיה של גלישת אחסון זמני בערימה בטיפול של WebKit באובייקטים של מחרוזות JavaScript. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. בעיה זו מטופלת באמצעות בדיקת טווחים משופרת. קרדיט: Apple.

  • WebKit

    • CVE-ID: CVE-2010-1790

    • זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    • השפעה: ביקור באתר אינטרנט בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי

    • תיאור: קיימת בעיה של הפעלה חוזרת בטיפול של WebKit בפריטי stub של JavaScript שכפופים להידור בזמן אמת (JIT). גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. בעיה זו טופלה באמצעות סנכרון משופר.

  • WebKit

    • CVE-ID: CVE-2010-1791

    • זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    • השפעה: ביקור באתר אינטרנט בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי

    • תיאור: קיימת בעיית חתימה בטיפול של WebKit במערכי JavaScript. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. הבעיה טופלה על ידי טיפול משופר באינדקסים של מערכי JavaScript. תודה ל-Natalie Silvanovich על הדיווח על הבעיה.

  • WebKit

    • CVE-ID: CVE-2010-1792

    • זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    • השפעה: ביקור באתר אינטרנט בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי

    • תיאור: קיימת בעיה של השחתת זיכרון בטיפול של WebKit בביטויים רגולריים. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. הבעיה טופלה על ידי טיפול משופר בביטויים רגולריים. תודה ל-Peter Varga מאוניברסיטת סגד על הדיווח על הבעיה.

  • WebKit

    • CVE-ID: CVE-2010-1793

    • זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    • השפעה: ביקור באתר אינטרנט בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי

    • תיאור: קיימת בעיית שימוש לאחר שחרור בטיפול של WebKit ברכיבי font-face ו-use במסמכי SVG. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. הבעיה טופלה על ידי טיפול משופר ברכיבי font-face ו-use במסמכי SVG. תודה ל-Aki Helin מ-OUSPG על הדיווח על הבעיה.

חשוב: אזכור של אתרים ומוצרים של צד שלישי מיועד למטרות מידע בלבד ואינו מהווה המלצה או תמיכה. Apple אינה נוטלת על עצמה כל אחריות בנוגע לבחירה, לביצועים או לשימוש במידע או במוצרים שנמצאים באתרי צד שלישי. Apple מספקת זאת רק לנוחות המשתמשים שלנו. Apple לא בדקה את המידע שנמצא באתרים אלה ולא הציגה שום מצג לגבי הדיוק או האמינות שלו. קיימים סיכונים הטמונים בשימוש במידע או במוצרים הנמצאים באינטרנט, ו-Apple אינה נוטלת על עצמה כל אחריות בנושא זה. עליכם להבין שאתר של צד שלישי אינו תלוי ב-Apple ושל-Apple אין שליטה על התוכן באתר זה. יש ליצור קשר עם הספק לקבלת מידע נוסף.

Published Date: