A Safari 3.1.2-es Windows-verziójának változásjegyzéke

Ez a dokumentum a Safari 3.1.2-es Windows-verziójának változásjegyzékét ismerteti, amelyet a Szoftverfrissítés beállításaiban vagy az Apple letöltési webhelyéről tölthet le és telepíthet.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.

A Safari 3.1.2-es Windows-verziója

Safari

CVE-ID: CVE-2008-1573

A következőkhöz érhető el: Windows XP vagy Vista

Érintett terület: Az ártó szándékkal létrehozott BMP- vagy GIF-képek megtekintése adatok közzétételéhez vezethet.

Leírás: Előfordulhat, hogy a BMP- és a GIF-képek kezelésekor határértéket túllépő memóriaolvasás következik be, ami a memóriatartalmak közzétételéhez vezethet. A frissítés a BMP- és GIF-képek további ellenőrzésével hárítja el a problémát. A problémát a Mac OS X 10.5.3 és a Mac OS X 10.4.11 rendszerekben a 2008-003 biztonsági frissítéssel hárították el. Köszönjük Gynvael Coldwindnak (Hispasec), hogy bejelentette a problémát.

Safari

CVE-ID: CVE-2008-2540

A következőkhöz érhető el: Windows XP vagy Vista

Érintett terület: A nem megbízható fájlok Windows asztalra való mentése tetszőleges kódvégrehajtáshoz vezethet.

Leírás: Hiba lépett fel azzal kapcsolatban, hogy a Windows asztal hogyan kezeli a végrehajtható fájlokat. Ha nem megbízható fájlokat ment a Windows asztalra, az elindíthatja a problémát, és tetszőleges kódvégrehajtáshoz vezethet. A webböngészőkkel az asztalra mentheti a fájlokat. A probléma mérséklése érdekében a Safari böngésző frissült, és értesíti a felhasználót a letöltött fájl mentése előtt. Ezenkívül az alapértelmezett letöltési hely a felhasználó Letöltések mappájára módosul a Windows Vista rendszeren, illetve a felhasználó Dokumentumok mappájára a Windows XP rendszerben. A probléma nem áll fenn a Mac OS X rendszereken. További információk a következő oldalon érhetők el: http://www.microsoft.com/technet/security/advisory/953818.mspx, köszönjük Aviv Raffnak, hogy bejelentette a problémát.

Safari

CVE-ID: CVE-2008-2306

A következőkhöz érhető el: Windows XP vagy Vista

Érintett terület: A megbízható Internet Explorer zónában található ártó szándékkal létrehozott webhelyek meglátogatása a tetszőleges kód automatikus végrehajtásához vezethet.

Leírás: Ha egy webhely az Internet Explorer 7 zónában van, és az „Alkalmazások és nem biztonságos fájlok indítása” beállítás „Engedélyezés” értéken áll, vagy ha egy webhely az Internet Explorer 6 „Helyi intranet” vagy „Megbízható helyek” zónájában található, a Safari automatikusan elindítja a webhelyről letöltött, végrehajtható fájlokat. Ez a frissítés úgy küszöböli ki a problémát, hogy nem indítja el automatikusan a letöltött, végrehajtható fájlokat, és a fájl letöltése előtt értesíti a felhasználót, ha az „értesítés mindig” beállítás engedélyezve van. A probléma nem áll fenn a Mac OS X rendszereken. Köszönjük Will Dormann-nak (CERT/CC), hogy bejelentette a problémát. Köszönjük a Microsoft Security Response Centernek a probléma elhárítása érdekében végzett együttműködést.

WebKit

CVE-ID: CVE-2008-2307

A következőkhöz érhető el: Windows XP vagy Vista

Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

Leírás: Memóriasérülési hiba áll fenn, miközben a WebKit a JavaScript-tömböket kezeli. Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor. Ez a frissítés hatékonyabb határérték-ellenőrzéssel hárítja el a problémát. Köszönjük James Urquhartnak, hogy bejelentette a problémát.