Informacije o sigurnosnom sadržaju sustava Safari 4.0.4.

U ovom se dokumentu opisuje sigurnosni sadržaj sustava Safari 4.0.4.

Radi zaštite svojih klijenata tvrtka Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do provođenja cjelovite istrage te dok potrebne zakrpe i izdanja ne postanu dostupni. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto Sigurnost Appleovih proizvoda.

Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite na web-mjestu „Upotreba PGP ključa za sigurnost Appleovih proizvoda."

Kada je to moguće, CVE ID-jevi služe kao referenca za dodatne informacije o slabim točkama.

Da biste saznali više o sigurnosnim ažuriranjima, posjetite web-mjesto „Appleova sigurnosna ažuriranja."

Safari 4.0.4

  • ColorSync

    CVE-ID: CVE-2009-2804

    Dostupno za: Windows 7, Vista, XP

    Učinak: prikaz zlonamjerno stvorene slike s ugrađenim profilom boja može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: pri rukovanju slikama s ugrađenim profilom boja postoji prekoračenje cijelih brojeva, što može dovesti do prekoračenja međuspremnika skupa. Otvaranje zlonamjerne slike s ugrađenim profilom boja može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Problem se rješava izvođenjem dodatne provjere valjanosti profila boja. Problem ne utječe na sustave Mac OS X v10.6. Problem je već riješen u sigurnosnom ažuriranju Security Update 2009-005 za sustave Mac OS X 10.5.8. Zasluge: Apple.

  • libxml

    CVE-ID: CVE-2009-2414, CVE-2009-2416

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Windows 7, Vista, XP

    Učinak: raščlanjivanje zlonamjernog sadržaja XML datoteke može dovesti do neočekivanog zatvaranja aplikacije

    Opis: više problema s korištenjem memorije nakon njezina oslobađanja postoji u biblioteci libxml2, a najozbiljniji može dovesti do neočekivanog zatvaranja aplikacije. Ažuriranje rješava problem poboljšanim upravljanjem memorijom. Problem je već riješen u sustavu Mac OS X 10.6.2 i sigurnosnom ažuriranju 2009-006 za sustave Mac OS X 10.5.8.

  • Safari

    CVE-ID: CVE-2009-2842

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 i v10.6.2, Mac OS X Server v10.6.1 i v10.6.2, Windows 7, Vista, XP

    Učinak: korištenje opcija prečaca izbornika na zlonamjernom web-mjestu može dovesti do otkrivanja lokalnih informaciaj

    Opis: problem je u načinu na koji Safari upravlja navigacijama koje se pokreću putem opcija prečaca na izborniku „Otvori sliku u novoj kartici”, „Otvori sliku u novom prozoru” ili „Otvori poveznicu u novoj kartici”. Upotreba tih opcija na zlonamjernom web-mjestu može dovesti do učitavanja lokalne HTML datoteke, što dovodi do otkrivanja osjetljivih informacija. Problem se rješava onemogućivanjem navedenih opcija prečaca izbornika kada poveznica cilja lokalnu datoteku.

  • WebKit

    CVE-ID: CVE-2009-2816

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 i v10.6.2, Mac OS X Server v10.6.1 i v10.6.2, Windows 7, Vista, XP

    Učinak: posjet zlonamjernom web-mjestu može rezultirati neočekivanim radnjama na drugim web-mjestima

    Opis: problem postoji u implementaciji dijeljenja resursa s više izvora u okviru WebKita. Prije omogućivanja stranici s jednog izvora da pristupi resursu s drugog izvora, WebKit zahtjev za prethodnu provjeru potonjem poslužitelju da pristupi resursu. WebKit uključuje prilagođena HTTP zaglavlja koja specificira stranica koja šalje zahtjev u zahtjevu za prethodnu provjeru. To može olakšati krivotvorenje zahtjeva s druge stranice. Problem se rješava uklanjanjem prilagođenih HTTP zaglavlja iz zahtjeva za prethodnu provjeru. Zasluge: Apple.

  • WebKit

    CVE-ID: CVE-2009-3384

    Dostupno za: Windows 7, Vista, XP

    Učinak: pristup zlonamjernom FTP poslužitelju može rezultirati neočekivanim zatvaranjem aplikacije, otkrivanjem informacija ili izvršavanjem proizvoljnog koda

    Opis: više slabih točaka postoji u načinu na koji WebKit rukuje popisima FTP direktorija. Pristup zlonamjernom FTP poslužitelju može dovesti do otkrivanja informacija, neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda. Ažuriranje rješava problem poboljšanim parsiranjem popisa FTP direktorija. Ti problemi ne zahvaćaju Safari na sustavima Mac OS X. Na prijavi tih problema zahvaljujemo Michalu Zalewskiju iz tvrtke Google Inc.

  • WebKit

    CVE-ID: CVE-2009-2841

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 i v10.6.2, Mac OS X Server v10.6.1 i v10.6.2

    Učinak: aplikacija Mail može učitati daljinski audio- i videosadržaj kada je onemogućeno učitavanje daljinske slike

    Opis: kada WebKit naiđe na HTML 5 medijski element koji upućuje na vanjski izvor, ne izdaje povratni poziv za učitavanje resursa da bi se odredilo treba li se resurs učitati. To može rezultirati neželjenim zahtjevima prema daljinskim poslužiteljima. Primjerice pošiljatelj e-mail poruke formatirane u HTML-u mogao bi to iskoristiti za određivanje je li poruka pročitana. Problem se rješava generiranjem povratnih poziva za učitavanje resursa kada WebKit naiđe na HTML 5 medijski element. Problem ne zahvaća Safari na sustavima Windows.

Važno: informacije o proizvodima koje ne proizvodi Apple samo su informativne naravi i ne predstavljaju Appleovo odobravanje ni preporuku. Obratite se dobavljaču za više informacija.

Datum objave: