Informacije o sigurnosnom sadržaju ažuriranja Safari 5.0.2 i Safari 4.1.2

U ovom se dokumentu opisuje sigurnosni sadržaj ažuriranja Safari 5.0.2 i Safari 4.1.2.

Da bi zaštitio korisnike, Apple ne otkriva, ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i javno ne ponudi zakrpe ili nova izdanja. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto Sigurnost Appleovih proizvoda.

Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite na web-mjestu „Upotreba PGP ključa za sigurnost Appleovih proizvoda."

Kada je to moguće, CVE ID-jevi služe kao referenca za dodatne informacije o slabim točkama.

Da biste saznali više o sigurnosnim ažuriranjima, posjetite web-mjesto „Appleova sigurnosna ažuriranja".

Safari 5.0.2 i Safari 4.1.2

• Safari

  CVE-ID: CVE-2010-1805

  Dostupno za: Windows 7, Vista, XP SP2 ili noviji

  Učinak: otvaranje datoteke u direktoriju koji mogu pisati drugi korisnici može dovesti do izvršavanja proizvoljnog koda

  Opis: u pregledniku Safari postoji problem s putanjom pretraživanja. Kad prikazuje lokaciju preuzete datoteke, Safari pokreće Windows Explorer, a ne navodi točnu putanju do izvršne stavke. Pokretanjem preglednika Safari otvaranjem datoteke u određenom direktoriju obuhvatit će se taj direktorij u putanji pretraživanja. Pokušajem otkrivanja lokacije preuzete datoteke mogla bi se izvršiti aplikacija koja se nalazi u tom direktoriju, što bi moglo dovesti do izvršavanja proizvoljnog koda. Taj je problem riješen upotrebom izričite putanje pretraživanja pri pokretanju programa Windows Explorer. Problem ne utječe na sustave Mac OS X. Na prijavi problema zahvaljujemo Simonu Raneru iz tvrtke ACROS Security.

• WebKit

  CVE-ID: CVE-2010-1807

  Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 i noviji, Mac OS X Server v10.6.2 i noviji, Windows 7, Vista, XP SP2 i noviji

  Učinak: posjet zlonamjerno stvorenom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

  Opis: postoji problem s provjerom valjanosti unosa u načinu na koji WebKit obrađuje vrste podataka s pomičnim zarezom. Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Problem se rješava poboljšanom provjerom valjanosti vrijednosti s pomičnim zarezom. Na prijavi problema zahvaljujemo Lukeu Wagneru iz tvrtke Mozilla.

• WebKit

  CVE-ID: CVE-2010-1806

  Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 i noviji, Mac OS X Server v10.6.2 i noviji, Windows 7, Vista, XP SP2 i noviji

  Učinak: posjet zlonamjerno stvorenom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

  Opis: u načinu na koji WebKit obrađuje elemente sa stilom u kojem je tekst u nastavku naslova postoji problem s korištenjem nakon oslobađanja. Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Problem se rješava poboljšanom obradom pokazivača objekata. Na prijavi tog problema zahvaljujemo wushiju iz tima team509, u suradnji s inicijativom Zero Day (TippingPoint).