A Safari 4 nyilvános bétaverziójának biztonsági frissítéséről
Ez a dokumentum a Safari 4 nyilvános bétaverziójának biztonsági frissítését ismerteti.
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.
Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.
Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.
A Safari 4 nyilvános bétaverziójának biztonsági frissítése
libxml
CVE-azonosító: CVE-2008-3529
A következőkhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP vagy Vista
Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.
Leírás: A hosszú entitásnevek libxml általi kezelésekor halompuffer-túlcsordulás következhetett be. Az ártó szándékkal létrehozott webhelyek felkeresése váratlan alkalmazásleállást idézhetett elő, illetve önkényes kódfuttatást tehetett lehetővé. Ez a frissítés hatékonyabb határérték-ellenőrzéssel hárítja el a problémát. A probléma a Safari 3.2.3 verzióban lett orvosolva.
Safari
CVE-azonosító: CVE-2009-0162
A következőhöz érhető el: Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP vagy Vista
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hírcsatornák URL-címének a használatakor tetszőleges programkód végrehajtására került sor.
Leírás: Több bevitelérvényesítési probléma a Safariban a hírcsatornák URL-címének a kezelésekor. Előfordult, hogy az ártó szándékkal létrehozott hírcsatornák URL-címének a használatakor tetszőleges JavaScript-végrehajtásra került sor. A frissítés a hírcsatornák URL-címeinek további ellenőrzésével hárítja el a problémákat. Ezek a problémák nem érintik a Mac OS X 10.5 verziónál korábbi rendszereket. A problémák a Safari 3.2.3 verzióban lettek orvosolva. Köszönet Billy Riosnak (Microsoft Vulnerability Research, MSVR) és Alfredo Melloninak, hogy jelentették ezt a problémát.
WebKit
CVE-azonosító: CVE-2009-0945
A következőhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP vagy Vista
Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása tetszőleges programkód végrehajtásához vezetett.
Leírás: Az SVGList-objektumok WebKit általi kezelésekor memóriasérülés következhetett be. Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor. Ez a frissítés hatékonyabb határérték-ellenőrzéssel hárítja el a problémát. A probléma a Safari 3.2.3 verzióban lett orvosolva. Köszönet Nilsnek és a TippingPoint Zero Day Initiative kezdeményezésének, hogy jelentették a problémát.
Fontos: A nem az Apple által gyártott termékekre vonatkozó információk kizárólag tájékoztató célt szolgálnak, és nem jelentik az Apple általi ajánlásukat vagy jóváhagyásukat. További információkért vegye fel a kapcsolatot a gyártóval.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.