Informacije o sigurnosnom sadržaju sustava Safari 4.0.5

U ovom se dokumentu opisuje sigurnosni sadržaj sustava Safari 4.0.5.

Radi zaštite svojih klijenata tvrtka Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do provođenja cjelovite istrage te dok potrebne zakrpe i izdanja ne postanu dostupni. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto Sigurnost Appleovih proizvoda.

Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite na web-mjestu „Upotreba PGP ključa za sigurnost Appleovih proizvoda."

Kada je to moguće, CVE ID-jevi služe kao referenca za dodatne informacije o slabim točkama.

Da biste saznali više o sigurnosnim ažuriranjima, posjetite web-mjesto „Appleova sigurnosna ažuriranja."

Safari 4.0.5

  • ColorSync

    CVE-ID: CVE-2010-0040

    Dostupno za: Windows 7, Vista, XP

    Učinak: prikaz zlonamjerno stvorene slike s ugrađenim profilom boja može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: pri rukovanju slikama s ugrađenim profilom boja postoji prekoračenje cijelih brojeva, što može dovesti do prekoračenja međuspremnika skupa. Otvaranje zlonamjerne slike s ugrađenim profilom boja može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Problem se rješava izvođenjem dodatne provjere valjanosti profila boja. Problem ne utječe na sustave Mac OS X. Na prijavi tog problema zahvaljujemo Sebastienu Renaudu iz tima za istraživanje ranjivosti (VUPEN).

  • ImageIO

    CVE-ID: CVE-2009-2285

    Dostupno za: Windows 7, Vista, XP

    Učinak: prikaz zlonamjerne TIFF slike može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: postoji podcjenjivanje u načinu na koji ImageIO rukuje TIFF slikama. Prikaz zlonamjerne TIFF slike može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Taj je problem riješen poboljšanom provjerom ograničenja. Za sustave Mac OS X v10.6 ovaj je problem riješen u izdanju Mac OS X v10.6.2. Za sustave Mac OS X v10.5 ovaj je problem riješen u sigurnosnom ažuriranju 2010-001.

  • ImageIO

    CVE-ID: CVE-2010-0041

    Dostupno za: Windows 7, Vista, XP

    Učinak: posjet zlonamjernom web-mjestu može rezultirati slanjem podataka iz memorije preglednika Safari web-mjestu

    Opis: postoji problem s pristupom neinicijaliziranoj memoriji u načinu na koji ImageIO rukuje slikama u BMP formatu. Posjet zlonamjernom web-mjestu može rezultirati slanjem podataka iz memorije preglednika Safari web-mjestu. Problem je riješen poboljšanim rukovanjem memorije i dodatnom provjerom valjanosti slika u BMP formatu. Na prijavi tog problema zahvaljujemo Matthewu 'j00ru' Jurczyku iz tvrtke Hispasec.

  • ImageIO

    CVE-ID: CVE-2010-0042

    Dostupno za: Windows 7, Vista, XP

    Učinak: posjet zlonamjernom web-mjestu može rezultirati slanjem podataka iz memorije preglednika Safari web-mjestu

    Opis: postoji problem s pristupom neinicijaliziranoj memoriji u načinu na koji ImageIO rukuje TIFF slikama. Posjet zlonamjernom web-mjestu može rezultirati slanjem podataka iz memorije preglednika Safari web-mjestu. Problem je riješen poboljšanim rukovanjem memorijom i dodatnom provjerom valjanosti TIFF slika. Na prijavi tog problema zahvaljujemo Matthewu 'j00ru' Jurczyku iz tvrtke Hispasec.

  • ImageIO

    CVE-ID: CVE-2010-0043

    Dostupno za: Windows 7, Vista, XP

    Učinak: obrada zlonamjerno stvorene slike u TIFF formatu može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: problem s oštećenjem memorije postoji u načinu na koji se rukuje TIFF slikama. Obrada zlonamjerne TIFF slike može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Problem je riješen poboljšanim rukovanjem memorijom. Na prijavi tog problema zahvaljujemo Gusu Muelleru iz tvrtke Flying Meat.

  • PubSub

    CVE-ID: CVE-2010-0044

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 ili noviji, Mac OS X Server v10.6.1 ili noviji, Windows 7, Vista, XP

    Učinak: posjet feedu ili ažuriranje feeda može rezultirati postavljanjem kolačića, čak i ako je Safari konfiguriran da blokira kolačiće

    Opis: postoji problem s implementacijom u rukovanju kolačićima koje postavljaju RSS i Atom feedovi. Posjet feedu ili ažuriranje feeda mogu rezultirati postavljanjem kolačića, čak i ako je Safari konfiguriran da blokira kolačiće putem postavke „Prihvaćanje kolačića”. Ovo ažuriranje rješava problem poštivanjem postavki prilikom ažuriranja ili pregleda feedova.

  • Safari

    CVE-ID: CVE-2010-0045

    Dostupno za: Windows 7, Vista, XP

    Učinak: posjet zlonamjerno stvorenom web-mjestu može dovesti do izvršavanja proizvoljnog koda

    Opis: problem u načinu na koji Safari rukuje shemama vanjskih URL-ova može dovesti do otvaranja lokalne datoteke kao odgovor na URL koji se pronađe na web-stranici. Posjetom zlonamjernom web-mjestu može prouzročiti izvršavanje proizvoljnog koda. Ovo ažuriranje rješava problem poboljšanom provjerom valjanosti vanjskih URL-ova. Problem ne utječe na sustave Mac OS X. Na prijavi tog problema zahvaljujemo Billyju Riosu i timu Microsoft Vulnerability Research (MSVR).

  • WebKit

    CVE-ID: CVE-2010-0046

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 ili noviji, Mac OS X Server v10.6.1 ili noviji, Windows 7, Vista, XP

    Učinak: pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: problem s oštećenjem memorije postoji u načinu na koji WebKit rukuje argumentima CSS format(). Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Problem je riješen poboljšanim rukovanjem argumenata CSS format(). Na prijavi tog problema zahvaljujemo Robertu Swieckiju iz tvrtke Google Inc.

  • WebKit

    CVE-ID: CVE-2010-0047

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 ili noviji, Mac OS X Server v10.6.1 ili noviji, Windows 7, Vista, XP

    Učinak: pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: postoji problem s korištenjem nakon oslobađanja u načinu na koji se rukuje rezervnim sadržajem elementa HTML objekta. Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Problem je riješen poboljšanim praćenjem reference memorije. Na prijavi tog problema zahvaljujemo wushiju iz tima team509, u suradnji s inicijativom Zero Day (TippingPoint).

  • WebKit

    CVE-ID: CVE-2010-0048

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 ili noviji, Mac OS X Server v10.6.1 ili noviji, Windows 7, Vista, XP

    Učinak: pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: postoji problem s korištenjem memorijom nakon njezina oslobađanja u načinu na koji WebKit parsira XML dokumente. Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Problem je riješen poboljšanim praćenjem reference memorije. Na prijavi tog problema zahvaljujemo wushiju iz tima team509, u suradnji s inicijativom Zero Day (TippingPoint).

  • Webkit

    CVE-ID: CVE-2010-0049

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 ili noviji, Mac OS X Server v10.6.1 ili noviji, Windows 7, Vista, XP

    Učinak: pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Description: postoji problem s korištenjem memorijom nakon njezina oslobađanja u načinu rukovanja HTML elementima koji sadrže tekst koji se prikazuje s desna na lijevo. Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Problem je riješen poboljšanim praćenjem reference memorije. Na prijavi tog problema zahvaljujemo wushiju iz tima team509, u suradnji s inicijativom Zero Day (TippingPoint).

  • WebKit

    CVE-ID: CVE-2010-0050

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 ili noviji, Mac OS X Server v10.6.1 ili noviji, Windows 7, Vista, XP

    Učinak: pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: postoji problem s korištenjem memorijom nakon njezina oslobađanja u načinu na koji WebKit rukuje neispravno ugniježđenim HTML oznakama. Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Problem je riješen poboljšanim praćenjem reference memorije. Na prijavi tog problema zahvaljujemo wushiju iz tima team509, u suradnji s inicijativom Zero Day (TippingPoint).

  • WebKit

    CVE-ID: CVE-2010-0051

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 ili noviji, Mac OS X Server v10.6.1 ili noviji, Windows 7, Vista, XP

    Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati otkrivanje osjetljivih podataka

    Opis: postoji problem s implementacijom u načinu na koji WebKit rukuje zahtjevima za listova za stilska oblikovanja s različitih izvora. Posjetom zlonamjernom web-mjestu može se otkriti sadržaj zaštićenih izvora na drugom web-mjestu. Ažuriranje rješava problem provođenjem dodatne provjere valjanosti na listovima za stilska oblikovanja koji se učitavaju tijekom zahtjeva koji uključuju različite izvore.

  • WebKit

    CVE-ID: CVE-2010-0052

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 ili noviji, Mac OS X Server v10.6.1 ili noviji, Windows 7, Vista, XP

    Učinak: pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: postoji problem s korištenjem nakon oslobađanja u načinu na koji WebKit rukuje rezervnim sadržajem elementa HTML objekta. Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Problem je riješen poboljšanim praćenjem reference memorije. Zasluge: Apple.

  • WebKit

    CVE-ID: CVE-2010-0053

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 ili noviji, Mac OS X Server v10.6.1 ili noviji, Windows 7, Vista, XP

    Učinak: pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: postoji problem s korištenjem nakon oslobađanja u generiranju sadržaja s prikaznim CSS svojstvom koje je postavljeno na 'run-in'. Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Problem je riješen poboljšanim praćenjem reference memorije. Na prijavi tog problema zahvaljujemo wushiju iz tima team509, u suradnji s inicijativom Zero Day (TippingPoint).

  • WebKit

    CVE-ID: CVE-2010-0054

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 ili noviji, Mac OS X Server v10.6.1 ili noviji, Windows 7, Vista, XP

    Učinak: pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: postoji problem s korištenjem nakon oslobađanja u načinu na koji WebKit rukuje elementima HTML slike. Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Problem je riješen poboljšanim praćenjem reference memorije. Zasluge: Apple.

Važno: informacije o proizvodima koje ne proizvodi Apple samo su informativne naravi i ne predstavljaju Appleovo odobravanje ni preporuku. Obratite se dobavljaču za više informacija.

Datum objave: