A Safari 5.0.2 és a Safari 4.1.2 biztonsági változásjegyzéke
Ez a dokumentum a Safari 5.0.2 és a Safari 4.1.2 biztonsági változásjegyzékét ismerteti.
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.
Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.
Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.
Safari 5.0.2 és Safari 4.1.2
Safari
CVE-azonosító: CVE-2010-1805
A következőkhöz érhető el: Windows 7, Vista, XP SP2 és későbbi verziók
Érintett terület: Egy más felhasználók által írható könyvtár fájljainak megnyitása tetszőleges kódvégrehajtást eredményezhet
Leírás: A Safari keresési útvonallal kapcsolatos hibát tartalmazott. Egy letöltött fájl helyének megjelenítésekor a Safari elindította a Windows Fájlkezelőt a végrehajtandó fájl teljes elérési útvonalának megadása nélkül. Ha a felhasználók egy adott könyvtárban található fájl megnyitásával indították el a Safarit, akkor az tartalmazta a könyvtárat a keresési útvonalban. A letöltött fájl helyének felfedése alkalmazást hajthatott végre az adott könyvtárban, amely tetszőleges programkód végrehajtását eredményezhette. A hiba kiküszöböléséhez pontos keresési útvonalat kell használni a Windows Fájlkezelő megnyitásakor. Ez a probléma nem érinti a Mac OS X rendszert. Köszönjük Simon Ranernak (ACROS Security) a probléma jelentését.
WebKit
CVE-azonosító: CVE-2010-1807
A következőkhöz érhető el: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 vagy újabb verzió, Mac OS X Server 10.6.2 vagy újabb verzió, Windows 7, Vista, XP SP2 vagy újabb verzió
Érintett terület: Az ártó szándékkal létrehozott webhelyek felkeresése váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtását tehette lehetővé
Leírás: Bevitel-ellenőrzési hiba lépett fel a lebegőpontos adattípusok WebKit átlali kezelésében. Az ártó szándékkal létrehozott webhelyek felkeresése váratlan alkalmazásleállást idézhetett elő, illetve önkényes kódfuttatást tehetett lehetővé. A hibát a lebegőpontos értékek további hitelesítésével küszöbölték ki. A probléma jelentéséért köszönet jár Luke Wagnernek (Mozilla).
WebKit
CVE-azonosító: CVE-2010-1806
A következőkhöz érhető el: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 vagy újabb verzió, Mac OS X Server 10.6.2 vagy újabb verzió, Windows 7, Vista, XP SP2 vagy újabb verzió
Érintett terület: Az ártó szándékkal létrehozott webhelyek felkeresése váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtását tehette lehetővé
Leírás: Felszabadítás utáni használattal kapcsolatos probléma lépett fel a „run-in” stílusú elemek WebKit általi kezelésében. Az ártó szándékkal létrehozott webhelyek felkeresése váratlan alkalmazásleállást idézhetett elő, illetve önkényes kódfuttatást tehetett lehetővé. A hibát az objektummutatók hatékonyabb kezelésével küszöbölték ki. Köszönjük Wushinak (team509), hogy a TippingPoint Zero Day Initiative kezdeményezésével együttműködve jelentette a problémát.
Fontos: A nem az Apple által gyártott termékekre vonatkozó információk kizárólag tájékoztató célt szolgálnak, és nem jelentik az Apple általi ajánlásukat vagy jóváhagyásukat. További információkért vegye fel a kapcsolatot a gyártóval.