A Safari 3.2.3 biztonsági változásjegyzéke

Ez a dokumentum a Safari 3.2.3 biztonsági változásjegyzékét ismerteti.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.

Safari 3.2.3

• libxml

  CVE-azonosító: CVE-2008-3529

  A következőkhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP vagy Vista

  Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

  Leírás: A hosszú entitásnevek libxml általi kezelésekor halompuffer-túlcsordulás következhetett be. Az ártó szándékkal létrehozott webhelyek felkeresése váratlan alkalmazásleállást idézhetett elő, illetve önkényes kódfuttatást tehetett lehetővé. Ez a frissítés hatékonyabb határérték-ellenőrzéssel hárítja el a problémát. A Safari 3.2.3. verzióját a Mac OS X v10.5.7 frissítés tartalmazza. Ha Mac OS X rendszeren kívánja használni a Safari 3.2.3. verzióját, ahhoz Mac OS X v10.5.7 vagy Mac OS X v10.4.11 és a 2009-002. sz. biztonsági frissítés telepítése szükséges.

• Safari

  CVE-azonosító: CVE-2009-0162

  A következőhöz érhető el: Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP vagy Vista

  Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hírcsatornák URL-címének a használatakor tetszőleges programkód végrehajtására került sor.

  Leírás: Több bevitelérvényesítési probléma a Safariban a hírcsatornák URL-címének a kezelésekor. Előfordult, hogy az ártó szándékkal létrehozott hírcsatornák URL-címének a használatakor tetszőleges JavaScript-végrehajtásra került sor. A frissítés a hírcsatornák URL-címeinek további ellenőrzésével hárítja el a problémákat. Ezek a problémák nem érintik a Mac OS X v10.5 előtti rendszereket. A Safari 3.2.3. verzióját a Mac OS X v10.5.7 frissítés tartalmazza. Köszönet Billy Riosnak (Microsoft Vulnerability Research (MSVR)) és Alfredo Melloninak, hogy jelentették ezeket a problémákat.

• WebKit

  CVE-azonosító: CVE-2009-0945

  A következőhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP vagy Vista

  Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása tetszőleges programkód végrehajtásához vezetett.

  Leírás: Az SVGList-objektumok WebKit általi kezelésekor memóriasérülés következhetett be. Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor. Ez a frissítés hatékonyabb határérték-ellenőrzéssel hárítja el a problémát. A Safari 3.2.3. verzióját a Mac OS X v10.5.7 frissítés tartalmazza. Ha Mac OS X rendszeren kívánja használni a Safari 3.2.3. verzióját, ahhoz Mac OS X v10.5.7 vagy Mac OS X v10.4.11 és a 2009-002. sz. biztonsági frissítés telepítése szükséges. Köszönjük Nilsnek, hogy a TippingPointtal és a Zero Day Initiative-vel együttműködve bejelentette a problémát.