Informacije o sigurnosnom sadržaju sustava Safari 4.0.3

U ovom se dokumentu opisuje sigurnosni sadržaj preglednika Safari 4.0.3.

Da bi zaštitio korisnike, Apple ne otkriva, ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i javno ne ponudi zakrpe ili nova izdanja. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto Sigurnost Appleovih proizvoda.

Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite na web-mjestu „Upotreba PGP ključa za sigurnost Appleovih proizvoda."

Kada je to moguće, CVE ID-jevi služe kao referenca za dodatne informacije o slabim točkama.

Da biste saznali više o sigurnosnim ažuriranjima, posjetite web-mjesto „Appleova sigurnosna ažuriranja."

Safari 4.0.3

  • CoreGraphics

    CVE-ID: CVE-2009-2468

    Dostupno za: Windows XP i Vista

    Učinak: pristup zlonamjernom web-mjestu može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanja proizvoljnog koda

    Opis: u crtežu dugačkih nizova teksta postoji prekoračenje međuspremnika skupa. Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Ovo ažuriranje rješava taj problem poboljšanom provjerom ograničenja. Zahvaljujemo Willu Drewryju (Google Inc.) na prijavi ovog problema.

  • ImageIO

    CVE-ID: CVE-2009-2188

    Dostupno za: Windows XP i Vista

    Učinak: prikaz zlonamjerno stvorene slikovne datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: postoji prekoračenje međuspremnika skupa u načinu rukovanja EXIF metapodacima. Prikaz zlonamjerno stvorene slikovne datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda. Ovo ažuriranje rješava taj problem poboljšanom provjerom ograničenja.

  • Safari

    CVE-ID: CVE-2009-2196

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows XP i Vista

    Učinak: zlonamjerno web-mjesto može se promaknuti u najpregledavanija web-mjesta (Top stranice) preglednika Safari

    Opis: za Safari 4 uvedena je značajka Top stranice putem koje korisnici mogu brzo pregledati omiljena web-mjesta korisnika. Zlonamjerno web-mjesto može promaknuti nasumične stranice u Top stranice putem niza automatiziranih radnji. To se može upotrijebiti za olakšavanje pokušaja krađe identiteta. Problem je riješen sprečavanjem automatiziranih posjeta web-mjestima s popisa Top stranica na koje se problem odnosi. Na popis Top stranice mogu se staviti samo web-mjesta koja korisnik ručno posjeti. Napominjemo da je u Safariju detekcija prijevarnih stranica omogućena prema zadanim postavkama. Od uvođenja značajke Top stranice, prijevarne stranice se ne prikazuju tijekom pregledavanja Top stranica. Zahvaljujemo korisniku Inferno iz tvrtke SecureThoughts.com na prijavi ovog problema.

  • WebKit

    CVE-ID: CVE-2009-2195

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows XP i Vista

    Učinak: pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: postoji prekoračenje međuspremnika skupa kod WebKit parsiraranja brojeva s pomičnom decimalnom točkom. Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Ovo ažuriranje rješava taj problem poboljšanom provjerom ograničenja. Zasluge: Apple.

  • WebKit

    CVE-ID: CVE-2009-2200

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows XP i Vista

    Učinak: pristup zlonamjernom web-mjestu i klikanje opcije „Idi” tijekom pregledavanja zlonamjernog dodatka dijaloškog okvira može dovesti do otkrivanja osjetljivih podataka

    Opis: WebKit omogućuje dodatku stranice da dodijeli „ugrađeni” element URL adresama referentnih datoteka. Klikanjem dijaloškog okvira „Idi” koji se prikazuje kad je nepoznata vrsta dodatka navedena kao referenca korisnik se preusmjerava na URL adresu na popisu atributa stranice dodatka. Ovo može omogućiti udaljenom napadaču da pokreće URL adrese datoteke u Safariju, što može dovesti do otkrivanja osjetljivih podataka. Ovo ažuriranje rješava ovaj problem ograničavanjem sheme URL adrese stranice dodatka na http ili https. Zahvaljujemo Alexiosu Fakosu (n.runs AG) na prijavi ovog problema.

  • WebKit

    CVE-ID: CVE-2009-2199

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows XP i Vista

    Učinak: slični znakovi iz URL adrese mogu se upotrijebiti za maskiranje web-mjesta

    Opis: podrška za međunarodni naziv domene (IDN) i Unicode fontovi ugrađeni u Safari mogli bi se upotrebljavati za izradu URL adrese koja sadrži slične znakove. Oni se mogu upotrebljavati na zlonamjernom web-mjestu za usmjeravanje korisnika na lažno web-mjesto koje se vizualno čini legitimnom domenom. Ovo ažuriranje rješava problem dodavanjem poznatih sličnih znakova u WebKit. Slični znakovi prikazuju se u Punycodeu u adresnoj traci. Zahvaljujemo Chrisu Weberu (Casaba Security, LLC) na prijavi tog problema.

Važno: informacije o proizvodima koje ne proizvodi Apple samo su informativne naravi i ne predstavljaju Appleovo odobravanje ni preporuku. Obratite se dobavljaču za više informacija.

Datum objave: