Informacije o sigurnosnom sadržaju ažuriranja Safari 5.0.1 i Safari 4.1.1
U ovom se dokumentu opisuje sigurnosni sadržaj ažuriranja Safari 5.0.1 i Safari 4.1.1.
Radi zaštite svojih klijenata tvrtka Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do provođenja cjelovite istrage te dok potrebne zakrpe i izdanja ne postanu dostupni. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto Sigurnost Appleovih proizvoda.
Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite na web-mjestu „Upotreba PGP ključa za sigurnost Appleovih proizvoda."
Kada je to moguće, CVE ID-jevi služe kao referenca za dodatne informacije o slabim točkama.
Da biste saznali više o sigurnosnim ažuriranjima, posjetite web-mjesto „Appleova sigurnosna ažuriranja".
Safari 5.0.1 i Safari 4.1.1
Safari
CVE-ID: CVE-2010-1778
Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 i novije verzije, Mac OS X Server v10.6.2 i novije verzije, Windows 7, Vista, XP SP2 i novije verzije
Učinak: pristup zlonamjernom RSS feedu može uzrokovati slanje datoteka sa sustava korisnika na udaljeni poslužitelj
Opis: postoje problemi sa skriptiranjem na više stranica u baratanju RSS feedovima preglednika Safari. Pristup zlonamjernom RSS feedu može uzrokovati slanje datoteka sa sustava korisnika na udaljeni poslužitelj. Taj je problem riješenj poboljšanim baratanjem RSS freedovima. Zahvaljujemo Billyju Riosu iz Googleova sigurnosnog tima na prijavi tog problema.
Safari
CVE-ID: CVE-2010-1796
Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 i novije verzije, Mac OS X Server v10.6.2 i novije verzije, Windows 7, Vista, XP SP2 i novije verzije
Učinak: značajka automatskog popunjavanja preglednika Safari može otkriti informacije web-mjestima bez interakcije korisnika
Opis: značajka automatskog popunjavanja preglednika Safari može automatski ispuniti web-obrasce pomoću određenih informacija u adresaru Mac OS X, programu Outlook ili adresaru sustava Windows. Automatsko ispunjavanje je dizajnirano tako da korisnik mora izvršiti radnju kako bi ono funkcioniralo unutar web-obrasca. Postoji problem s implementacijom koji zlonamjernim web-mjestima omogućuje aktiviranje automatskog ispunjavanja bez interakcije korisnika. To može uzrokovati otkrivanje informacija sadržanih u kartici Adresar korisnika. Da bi se taj problem aktivirao, moraju se dogoditi sljedeće dvije situacije. Kao prvo, Postavke preglednika Safari, u stavci Automatsko popunjavanje mora biti odabrana mogućnost „Automatski popuni web-obrasce pomoću informacija u mojoj kartici Adresar”. Zatim, Adresar korisnika mora imati karticu koja je označena kao „Moja kartica”. Automatsko ispunjavanje pristupa samo podactima na toj specifičnoj kartici. Taj se problem rješava tako što se Automatskom ispunjavanju zabrani uporaba informacija bez akcije korisnika. To ne utječe na uređaje sa sustavom iOS. Zahvaljujemo Jeremiahu Grossmanu iz tvrtke WhiteHat Security na prijavi problema.
WebKit
CVE-ID: CVE-2010-1780
Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 i novije verzije, Mac OS X Server v10.6.2 i novije verzije, Windows 7, Vista, XP SP2 i novije verzije
Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: u načinu na koji WebKit obrađuje fokus elementa postoji problem s korištenjem memorijom nakon njezina oslobađanja. Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Taj je problem riješen poboljšanim baratanjem fokusiranjem na elemente. Zahvaljujemo Tonyju Changu iz tvrtke Google, Inc. na prijavi tog problema.
WebKit
CVE-ID: CVE-2010-1782
Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 i novije verzije, Mac OS X Server v10.6.2 i novije verzije, Windows 7, Vista, XP SP2 i novije verzije
Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: postoji problem s oštećenjem memorije u načinu na koji WebKit prikazuje elemente u retku. Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Taj je problem riješen poboljšanom provjerom ograničenja. Zahvaljujemo wushiju iz tima team509 na prijavi tog problema.
WebKit
CVE-ID: CVE-2010-1783
Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 i novije verzije, Mac OS X Server v10.6.2 i novije verzije, Windows 7, Vista, XP SP2 i novije verzije
Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: postoji problem s oštećenjem memorije u načinu na koji WebKit barata dinamičnim modifikacijama tekstnog čvora. Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Taj je problem riješen poboljšanim rukovanjem memorijom.
WebKit
CVE-ID: CVE-2010-1784
Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 i novije verzije, Mac OS X Server v10.6.2 i novije verzije, Windows 7, Vista, XP SP2 i novije verzije
Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: postoji problem s oštećenjem memorije u načinu na koji WebKit obrađuje CSS brojače. Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Taj je problem riješen poboljšanim rukovanjem memorijom. Na prijavi tog problema zahvaljujemo wushiju iz tima team509, u suradnji s inicijativom Zero Day (TippingPoint).
WebKit
CVE-ID: CVE-2010-1785
Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 i novije verzije, Mac OS X Server v10.6.2 i novije verzije, Windows 7, Vista, XP SP2 i novije verzije
Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: postoji problem s pristupom neinicijaliziranoj memoriji u načinu na koji WebKit barata pseudo-elementima :first-letter i :first-line u tekstnim elementima SVG-a. Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Problem je riješen tako što se pseudo-elementi :first-letter i :first-line u tekstni elementima SVG-a ne renderiraju. Na prijavi tog problema zahvaljujemo wushiju iz tima team509, u suradnji s inicijativom Zero Day (TippingPoint).
WebKit
CVE-ID: CVE-2010-1786
Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 i novije verzije, Mac OS X Server v10.6.2 i novije verzije, Windows 7, Vista, XP SP2 i novije verzije
Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: postoji problem s korištenjem memorijom nakon oslobađanja u načinu na koji WebKit barata foreignObject elementima u SVG dokumentima. Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Problem je riješen dodatnom provjerom valjanosti SVG dokumenata. Na prijavi tog problema zahvaljujemo wushiju iz tima team509, u suradnji s inicijativom Zero Day (TippingPoint).
WebKit
CVE-ID: CVE-2010-1787
Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 i novije verzije, Mac OS X Server v10.6.2 i novije verzije, Windows 7, Vista, XP SP2 i novije verzije
Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: postoji problem s oštećenjem memorije u načinu na koji WebKit barata plutajućim elementima u SVG dokumentima. Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Taj je problem riješen poboljšanim rukovanjem memorijom. Na prijavi tog problema zahvaljujemo wushiju iz tima team509, u suradnji s inicijativom Zero Day (TippingPoint).
WebKit
CVE-ID: CVE-2010-1788
Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 i novije verzije, Mac OS X Server v10.6.2 i novije verzije, Windows 7, Vista, XP SP2 i novije verzije
Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: postoji problem s oštećenjem memorije u načinu na koji WebKit barata „use” elementima u SVG dokumentima. Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Problem je riješen poboljšanim baratanjem „use” elementima u SVG dokumentima. Zahvaljujemo Justinu Schuhu iz tvrtke Google, Inc. na prijavi tog problema.
WebKit
CVE-ID: CVE-2010-1789
Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 i novije verzije, Mac OS X Server v10.6.2 i novije verzije, Windows 7, Vista, XP SP2 i novije verzije
Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: postoji prekoračenje međuspremnika skupa u načinu na koji WebKit barata objektima niza za JavaScript. Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Taj je problem riješen poboljšanom provjerom ograničenja. Zasluge: Apple.
WebKit
CVE-ID: CVE-2010-1790
Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 i novije verzije, Mac OS X Server v10.6.2 i novije verzije, Windows 7, Vista, XP SP2 i novije verzije
Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: postoji problem s ponovnim ulaskom (reentrancy) u načinu na koji WebKit barata Javascript stubovima koji su kompilirani točno na vrijeme. Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Problem je riješen poboljšanom sinkronizacijom.
WebKit
CVE-ID: CVE-2010-1791
Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 i novije verzije, Mac OS X Server v10.6.2 i novije verzije, Windows 7, Vista, XP SP2 i novije verzije
Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: postoji problem s potpisivanjem u načinu na koji WebKit barata indeksiranjem polja za JavaScript. Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Taj je problem riješen poboljšanim baratanjem indeksiranjem polja za JavaScript. Zahvaljujemo Natalie Silvanovich na prijavi problema.
WebKit
CVE-ID: CVE-2010-1792
Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 i novije verzije, Mac OS X Server v10.6.2 i novije verzije, Windows 7, Vista, XP SP2 i novije verzije
Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: postoji problem s oštećenjem memorije u načinu na koji WebKit barata regularnim izrazima Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Taj je problem riješen poboljšanim baratanjem regularnim izrazima. Zahvaljujemo Peteru Vargi sa Sveučilišta u Szegedu na prijavi problema.
WebKit
CVE-ID: CVE-2010-1793
Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 i novije verzije, Mac OS X Server v10.6.2 i novije verzije, Windows 7, Vista, XP SP2 i novije verzije
Učinak: pristup zlonamjernom web-mjestu mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: postoji problem s korištenjem memorijom nakon oslobađanja u načinu na koji WebKit barata elementima „font-face” i „use” SVG dokumentima. Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Taj je problem riješen poboljšanim baratanjem elemenata „font-face” i „use” u SVG dokumentima. Zahvaljujemo Akiju Helinu iz tvrtke OUSPG na prijavi ovog problema.
Važno: navođenje web-mjesta i proizvoda trećih strana samo je informativne naravi i ne predstavlja njihovo odobravanje ni preporuku. Apple ne preuzima odgovornost za izbor, performanse ili upotrebu informacija ili proizvoda koji se mogu pronaći na web-mjestima trećih strana. Apple navedeno pruža samo radi boljeg korisničkog iskustva naših korisnika. Apple nije ispitao informacije pronađene na ovim web-mjestima i ne iznosi nikakve tvrdnje vezane za njihovu točnost ili pouzdanost. Upotreba informacija ili proizvoda s interneta može predstavljati određene rizike, a Apple ne preuzima odgovornost po tom pitanju. Imajte na umu da je web-mjesto treće strane neovisno u odnosu na Apple te da Apple ne upravlja sadržajem tih web-mjesta. Obratite se dobavljaču za više informacija.