A Safari 3.1.1 biztonsági változásjegyzéke
Ez a dokumentum a Safari 3.1.1 biztonsági tartalmát ismerteti, amely a Szoftverfrissítés beállításaiban vagy az Apple-letöltések oldalon tölthető le és telepíthető.
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál tájékoztatást.
Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.
Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkben olvashat.
Safari 3.1.1
Safari
CVE-azonosító: CVE-2007-2398
A következőkhöz érhető el: Windows XP vagy Vista
Érintett terület: Előfordulhat, hogy egy ártó szándékkal létrehozott webhely módosítja a címsáv tartalmát.
Leírás: A Safari 3.1 egy időzítési problémája miatt a weboldalak anélkül módosíthatják a címsor tartalmát, hogy betöltenék a megfelelő oldal tartalmát. Ezáltal meghamisíthatók valós webhelyek tartalmai, ami lehetővé teszi, hogy mások megszerezzék a felhasználók bejelentkezési és egyéb adatait. A probléma el lett hárítva a Safari Beta 3.0.2-es verziójában, azonban újra megjelent a Safari 3.1-ben. Ez a frissítés a címsor tartalmának visszaállításával hárítja el a problémát, ha egy új weboldal lekérése megszűnik. Ez a probléma nem érinti a Mac OS X rendszert.
Safari
CVE-azonosító: CVE-2008-1024
A következőkhöz érhető el: Windows XP vagy Vista
Érintett terület: Előfordulhat, hogy egy ártó szándékkal létrehozott webhely meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezet.
Leírás: Memóriasérülés lépett fel a Safariban a fájlok letöltésekor. Ha egy támadó egy ártó szándékkal elnevezett fájl letöltésére veszi rá a felhasználót, váratlan alkalmazásleállást vagy tetszőleges programkód végrehajtását okozhatja. A frissítés a fájlletöltések hatékonyabb kezelésével hárítja el a problémát. Ez a probléma nem érinti a Mac OS X rendszert.
WebKit
CVE-azonosító: CVE-2008-1025
A következőkhöz érhető el: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.2, Mac OS X Server 10.5.2, Windows XP vagy Vista
Érintett terület: Egy rosszindulatú webhely meglátogatása webhelyek közötti szkriptelést tehet lehetővé.
Leírás: A WebKit hibásan kezeli a kettőspontot tartalmazó hosztnévvel rendelkező URL-címeket. Az ártó szándékkal létrehozott URL-címek megnyitása webhelyek közötti, szkriptet alkalmazó támadást tehet lehetővé. A frissítés az URL-címek hatékonyabb kezelésével hárítja el a problémát. A probléma jelentéséért köszönet jár Robert Swieckinek (Google Information Security Team) és David Bloomnak.
WebKit
CVE-azonosító: CVE-2008-1026
A következőkhöz érhető el: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.2, Mac OS X Server 10.5.2, Windows XP vagy Vista
Érintett terület: Előfordulhat, hogy az ártó szándékkal létrehozott weboldalak megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására kerül sor.
Leírás: Halompuffer-túlcsordulás áll fenn a WebKitben a JavaScript reguláris kifejezések kezelésekor. A probléma a JavaScriptben léphet fel, nagy mennyiségű beágyazott ismétléssel rendelkező reguláris kifejezések feldolgozásakor. Ez váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezet. Ez a frissítés a JavaScript reguláris kifejezések további ellenőrzésével hárítja el a problémát. A probléma jelentéséért köszönet jár Charlie Millernek, Jake Honoroffnak és Mark Danielnek (Tippingpoint, Zero Day Initiative).
Fontos: A nem az Apple által gyártott termékekre vonatkozó információk kizárólag tájékoztató jellegűek, és nem tekinthetők az Apple javaslatainak vagy ajánlásainak. További információért vegye fel a kapcsolatot a gyártóval.