Informacije o sigurnosnom sadržaju ažuriranja Safari 3.2

U ovom se dokumentu opisuje sigurnosni sadržaj ažuriranja Safari 3.2.

Da bi zaštitio korisnike, Apple ne otkriva, ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i javno ne ponudi zakrpe ili nova izdanja. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto Sigurnost Appleovih proizvoda.

Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite na web-mjestu „Upotreba PGP ključa za sigurnost Appleovih proizvoda.”

Kada je to moguće, CVE ID-jevi služe kao referenca za dodatne informacije o slabim točkama.

Da biste saznali više o ostalim sigurnosnim ažuriranjima, pogledajte „Appleova sigurnosna ažuriranja.”

Safari 3.2

• Safari

  CVE-ID: CVE-2005-2096

  Dostupno za: Windows XP ili Vista

  Učinak: više ranjivosti u biblioteci zlib 1.2.2

  Opis: postoji više ranjivosti u biblioteci zlib 1.2.2, od kojih najozbiljnija može dovesti do uskraćivanja usluge. Ovo ažuriranje rješava problem ažuriranjem na zlib 1.2.3. Ti problemi ne utječu na sustave Mac OS X. Zahvaljujemo Robbieju Joostenu iz projekta bioinformatics@school i Davidu Gunnellsu sa Sveučilišta Alabama u Birminghamu na prijavi tih problema.

• Safari

  CVE-ID: CVE-2008-1767

  Dostupno za: Windows XP ili Vista

  Učinak: obrada XML dokumenta može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

  Opis: problem s prekoračenjem međuspremnika skupa postoji u biblioteci libxslt. Prikaz zlonamjerno izrađene HTML stranice može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Dodatne informacije o primijenjenoj zakrpi dostupne su na adresi http://xmlsoft.org/XSLT/ Taj problem ne utječe na sustave Mac OS X koji su primijenili sigurnosno ažuriranje 2008-007. Zahvaljujemo Anthonyju de Almeidi Lopesu iz tvrtke Outpost24 AB i Chrisu Evansu iz Googleova sigurnosnog tima na prijavi tog problema.

• Safari

  CVE-ID: CVE-2008-3623

  Dostupno za: Windows XP ili Vista

  Učinak: posjet zlonamjerno stvorenom web-mjestu može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

  Opis: postoji prekoračenje međuspremnika skupa u načinu na koji CoreGraphics obrađuje prostore boja. Prikaz zlonamjerno stvorene slikovne datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda. Ovo ažuriranje rješava taj problem poboljšanom provjerom ograničenja. Zasluge: Apple.

• Safari

  CVE-ID: CVE-2008-2327

  Dostupno za: Windows XP ili Vista

  Učinak: prikaz zlonamjerno stvorene TIFF slike može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

  Opis: postoji više problema s pristupom neinicijaliziranoj memoriji u načinu na koji libTIFF obrađuje TIFF slike kodirane LZW-om. Prikaz zlonamjerne TIFF slike može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Ovo ažuriranje rješava taj problem pravilnom inicijalizacijom memorije i dodatnom provjerom valjanosti TIFF slika. Taj je problem riješen u sustavima s verzijom Mac OS X v10.5.5 i novijima te u sustavima Mac OS X v10.4.11 koji su primijenili sigurnosno ažuriranje 2008-006. Zasluge: Apple.

• Safari

  CVE-ID: CVE-2008-2332

  Dostupno za: Windows XP ili Vista

  Učinak: prikaz zlonamjerno stvorene TIFF slike može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

  Opis: postoji problem s oštećenjem memorije u načinu na koji ImageIO obrađuje TIFF slike. Prikaz zlonamjerne TIFF slike može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Ovo ažuriranje rješava problem poboljšanom obradom TIFF slika. Taj je problem riješen u sustavima s verzijom Mac OS X v10.5.5 i novijima te u sustavima Mac OS X v10.4.11 koji su primijenili sigurnosno ažuriranje 2008-006. Zahvaljujemo Robertu Swieckom iz Googleova sigurnosnog tima na prijavi tog problema.

• Safari

  CVE-ID: CVE-2008-3608

  Dostupno za: Windows XP ili Vista

  Učinak: prikaz velike zlonamjerno stvorene JPEG slike može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

  Opis: postoji problem s oštećenjem memorije u načinu na koji ImageIO obrađuje ugrađene ICC profile u JPEG slikama. Prikaz velike zlonamjerno stvorene JPEG slike može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda. Ovo ažuriranje rješava problem poboljšanom obradom ICC profila. Taj je problem riješen u sustavima s verzijom Mac OS X v10.5.5 i novijima te u sustavima Mac OS X v10.4.11 koji su primijenili sigurnosno ažuriranje 2008-006. Zasluge: Apple.

• Safari

  CVE-ID: CVE-2008-3642

  Dostupno za: Windows XP ili Vista

  Učinak: prikaz zlonamjerno stvorene slike može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

  Opis: postoji prekoračenje međuspremnika u načinu obrade slika s ugrađenim ICC profilom. Otvaranje zlonamjerno stvorene slike s ugrađenim ICC profilom može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Ovo ažuriranje rješava taj problem dodatnom provjerom valjanosti ICC profila u slikama. Taj problem ne utječe na Mac OS X sustave s primijenjenim sigurnosnim ažuriranjem 2008-007. Zasluge: Apple.

• Safari

  CVE-ID: CVE-2008-3644

  Dostupno za: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP ili Vista

  Učinak: povjerljive informacije možda će se otkriti lokalnom korisniku konzole

  Opis: onemogućivanje automatskog popunjavanja u polju obrasca možda neće spriječiti da se podaci u polju pohrane u predmemoriji stranice preglednika. To može dovesti do otkrivanja povjerljivih informacija lokalnom korisniku. Ovo ažuriranje otklanja taj problem pravilnim čišćenjem podataka iz obrasca. Zahvaljujemo anonimnom istraživaču na prijavi problema.

• WebKit

  CVE-ID: CVE-2008-2303

  Dostupno za: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP ili Vista

  Učinak: posjet zlonamjerno stvorenom web-mjestu može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

  Opis: problem s potpisivanjem kad Safari obrađuje JavaScript indekse niza može uzrokovati pristup memoriji izvan ograničenja. Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. To ažuriranje rješava problem izvršavanjem dodatne provjere valjanosti JavaScript indeksa niza. Zahvaljujemo Skylinedu (Google) za prijavu tog problema.

• WebKit

  CVE-ID: CVE-2008-2317

  Dostupno za: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP ili Vista

  Učinak: posjet zlonamjerno stvorenom web-mjestu može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

  Opis: postoji problem oštećenja memorije u načinu na koji WebCore obrađuje elemente stilskih predložaka. Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. To ažuriranje rješava problem poboljšanim prikupljanjem otpada. Zahvaljujemo anonimnom istraživaču koji radi na inicijativi Zero Day Initiative tvrtke TippingPoint na prijavi tog problema.

• WebKit

  CVE-ID: CVE-2008-4216

  Dostupno za: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP ili Vista

  Učinak: posjet zlonamjerno stvorenom web-mjestu može uzrokovati otkrivanje povjerljivih podataka

  Opis: sučelje za dodatke za WebKit ne blokira dodatke pri pokretanju lokalnih URL-ova. Posjet zlonamjerno stvorenom web-mjestu može omogućiti udaljenom napadaču da pokrene lokalne datoteke u pregledniku Safari, što može dovesti do otkrivanja povjerljivih podataka. Ovo ažuriranje rješava problem ograničavanjem vrsta URL-ova koje se mogu pokretati putem sučelja za dodatke. Zahvaljujemo Billyju Riosu iz tvrtke Microsoft i Niteshu Dhanjaniju iz tvrtke Ernst & Young na prijavi tog problema.