A Safari 3.2 biztonsági változásjegyzéke
Ez a dokumentum a Safari 3.2 biztonsági változásjegyzékét ismerteti.
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információt.
Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.
Az egyéb biztonsági frissítésekről az „Apple biztonsági frissítései” című cikkben olvashat.
Safari 3.2
Safari
CVE-azonosító: CVE-2005-2096
A következőkhöz érhető el: Windows XP vagy Vista
Érintett terület: Több biztonsági rés volt megtalálható a zlib 1.2.2-es verziójában
Leírás: Több biztonsági rés volt megtalálható a zlib 1.2.2-es verziójában; ezek legsúlyosabbika szolgáltatásmegtagadást okozhatott. A frissítés a zlib 1.2.3-as verziójára történő frissítéssel hárítja el a problémát. Ez a probléma nem érinti a Mac OS X rendszereket. Köszönjük Robbie Joostennek (bioinformatics@school) és David Gunnellsnek (University of Alabama, Birmingham) a probléma jelentését.
Safari
CVE-azonosító: CVE-2008-1767
A következőkhöz érhető el: Windows XP vagy Vista
Érintett terület: Egy XML-dokumentum feldolgozása váratlan alkalmazásleálláshoz vagy tetszőleges kódvégrehajtásához vezethet
Leírás: A libxslt könyvtárban halompuffer-túlcsordulás merült fel. Egy ártó szándékkal létrehozott HTML-weboldal megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges kódvégrehajtáshoz vezethet. A frissítéssel kapcsolatos további információkért keresse fel a következő webhelyet: http://xmlsoft.org/XSLT/ Ez a probléma nem érinti a Mac OS X rendszereket, amelyeken telepítették a 2008-007-es biztonsági frissítést. Köszönjük Anthony de Almeida Lopesnek (Outpost24 AB) és Chris Evansnek (Google Security Team) a probléma jelentését.
Safari
CVE-azonosító: CVE-2008-3623
A következőkhöz érhető el: Windows XP vagy Vista
Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.
Leírás: A színterek CoreGraphics általi kezelésekor halompuffer-túlcsordulás következhetett be. Az ártó szándékkal létrehozott képek megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethet. Ez a frissítés hatékonyabb határérték-ellenőrzéssel hárítja el a problémát. Köszönet az Apple-nek.
Safari
CVE-azonosító: CVE-2008-2327
A következőkhöz érhető el: Windows XP vagy Vista
Érintett terület: Az ártó szándékkal létrehozott TIFF-képek megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges kódvégrehajtásához vezethet
Leírás: Az LZW-kódolású TIFF-képek libTIFF általi kezelésében a nem inicializált memóriával kapcsolatosan több hiba merült fel. Előfordult, hogy az ártó szándékkal létrehozott TIFF-képek megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor. Ez a frissítés megfelelő memóriainicializálással és a TIFF-képek további ellenőrzésével küszöböli ki a hibát. Ez a probléma már ki van küszöbölve a Mac OS X 10.5.5-ös vagy újabb verzióját futtató rendszereken, valamint a Mac OS X 10.4.11-es verzióját futtató rendszereken, amelyeken telepítették a 2008-006-os biztonsági frissítést. Köszönet az Apple-nek.
Safari
CVE-azonosító: CVE-2008-2332
A következőkhöz érhető el: Windows XP vagy Vista
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott TIFF-képek feldolgozásakor váratlan alkalmazásleállásra vagy tetszőleges kód végrehajtására került sor
Leírás: Memóriasérülési hiba lépett fel a TIFF-képek ImageIO általi kezelése során. Előfordult, hogy az ártó szándékkal létrehozott TIFF-képek megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor. A frissítés a TIFF-képek hatékonyabb feldolgozásával küszöböli ki a hibát. Ez a probléma már ki van küszöbölve a Mac OS X 10.5.5-ös vagy újabb verzióját futtató rendszereken, valamint a Mac OS X 10.4.11-es verzióját futtató rendszereken, amelyeken telepítették a 2008-006-os biztonsági frissítést. Köszönjük Robert Swieckinek (Google Security Team) a probléma jelentését.
Safari
CVE-azonosító: CVE-2008-3608
A következőkhöz érhető el: Windows XP vagy Vista
Érintett terület: Az ártó szándékkal létrehozott JPEG-képek megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges kódvégrehajtásához vezethet
Leírás: A JPEG-képekben beágyazott ICC-profilok ImageIO általi kezelése memóriasérüléssel kapcsolatos problémát tartalmaz. Az ártó szándékkal létrehozott, nagy JPEG-képek megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethet. A frissítés az ICC-profilok hatékonyabb feldolgozásával küszöböli ki a hibát. Ez a probléma már ki van küszöbölve a Mac OS X 10.5.5-ös vagy újabb verzióját futtató rendszereken, valamint a Mac OS X 10.4.11-es verzióját futtató rendszereken, amelyeken telepítették a 2008-006-os biztonsági frissítést. Köszönet az Apple-nek.
Safari
CVE-azonosító: CVE-2008-3642
A következőkhöz érhető el: Windows XP vagy Vista
Érintett terület: Előfordulhatott, hogy az ártó szándékkal létrehozott képek megtekintésekor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Halompuffer-túlcsordulás következett be a beágyazott ICC-profilokkal rendelkező képek kezelése során. Ártó szándékkal létrehozott, ICC-profillal rendelkező képek megnyitása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethet. Ez a frissítés a képek ICC-profiljainak további hitelesítésével küszöböli ki a hibát. Ez a probléma nem érinti a Mac OS X rendszereket, amelyeken telepítették a 2008-007-es biztonsági frissítést. Köszönet az Apple-nek.
Safari
CVE-azonosító: CVE-2008-3644
A következőkhöz érhető el: Mac OS X 10.4.11-es verzió, Mac OS X 10.5.5-ös verzió, Windows XP vagy Vista
Érintett terület: Egy helyi felhasználó parancssorral bizalmas adatokhoz juthat hozzá
Leírás: Előfordulhat, hogy az automatikus kitöltés letiltása egy űrlapmező esetén nem akadályozza meg a mezőbe beírt adatok tárolását a böngészőlap gyorsítótárjában. Ez lehetővé teszi, hogy egy helyi felhasználó bizalmas adatokhoz juthasson hozzá. Ez a frissítés az űrlapadatok megfelelő törlésével küszöböli ki a hibát. Köszönjük egy anonim kutatónak a probléma jelentését.
WebKit
CVE-azonosító: CVE-2008-2303
A következőkhöz érhető el: Mac OS X 10.4.11-es verzió, Mac OS X 10.5.5-ös verzió, Windows XP vagy Vista
Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.
Leírás: A JavaScript tömbindexek Safari általi kezelésében az aláírási hiba határértéken kívüli memória-hozzáférést okozhat. Az ártó szándékkal létrehozott webhelyek felkeresése váratlan alkalmazásleállást idézhetett elő, illetve önkényes kódfuttatást tehetett lehetővé. Ez a frissítés a JavaScript tömbindexeinek további ellenőrzésével hárítja el a problémát. Köszönjük SkyLinednak (Google), hogy jelentette a problémát.
WebKit
CVE-azonosító: CVE-2008-2317
A következőkhöz érhető el: Mac OS X 10.4.11-es verzió, Mac OS X 10.5.5-ös verzió, Windows XP vagy Vista
Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.
Leírás: A stíluslapelemek WebCore általi kezelése memóriasérüléssel kapcsolatos problémát tartalmaz. Az ártó szándékkal létrehozott webhelyek felkeresése váratlan alkalmazásleállást idézhetett elő, illetve önkényes kódfuttatást tehetett lehetővé. Ez a frissítés a szemétgyűjtés hatékonyabb kezelésével hárítja el a problémát. Köszönjük egy anonim kutatónak (aki a TippingPoint Zero Day Initiative-ben vesz részt), hogy jelentette a problémát.
WebKit
CVE-azonosító: CVE-2008-4216
A következőkhöz érhető el: Mac OS X 10.4.11-es verzió, Mac OS X 10.5.5-ös verzió, Windows XP vagy Vista
Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása bizalmas adatok közzétételéhez vezetett.
Leírás: A WebKit bővítményének felülete nem tiltja le, hogy bővítmények helyi URL-eket indítsanak. Egy ártó szándékkal létrehozott weboldal lehetővé teheti, hogy egy távoli támadó helyi fájlokat indítson el a Safariban, ami bizalmas adatok közzétételéhez vezethet. Ez a frissítés a beépülő modul felületéről indítható URL-típusok korlátozásával küszöböli ki a hibát. Köszönjük Billy Riosnak (Microsoft) és Nitesh Dhanjaninak (Ernst & Young) a probléma jelentését.
Fontos: A külső felek webhelyeinek és termékeinek megemlítése kizárólag tájékoztató célt szolgál, és nem értelmezhető sem jóváhagyásként, sem ajánlásként. Az Apple nem vállal felelősséget a harmadik felek webhelyein található információk vagy termékek választékáért, működéséért vagy használatáért. Az Apple ezt csak a felhasználók kényelme érdekében teszi elérhetővé. Az Apple nem tesztelte az ilyen webhelyeken található információkat, és nem tesz nyilatkozatot a pontosságukról vagy a megbízhatóságukról. Az interneten található információk vagy termékek használata kockázatokkal járhat, és az Apple nem vállal felelősséget ezekért. Vegye figyelembe, hogy a harmadik felek webhelyei függetlenek az Apple-től, és az Apple nincs ráhatással az adott webhely tartalmára. További információkért vegye fel a kapcsolatot a gyártóval.