A Safari 5.0.1 és a Safari 4.1.1 biztonsági változásjegyzéke

Ez a dokumentum a Safari 5.0.1 és a Safari 4.1.1 biztonsági változásjegyzékét ismerteti.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.

Safari 5.0.1 és Safari 4.1.1

  • Safari

    • CVE-AZONOSÍTÓ: CVE-2010-1778

    • A következőkhöz érhető el: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 és újabb, Mac OS X Server 10.6.2 és újabb, Windows 7, Vista, XP SP2 és újabb

    • Érintett terület: A felhasználó rendszeréről a fájlok egy távoli kiszolgálóra kerülhettek, amikor ártó szándékkal létrehozott RSS-hírcsatornához fértek hozzá

    • Leírás: Webhelyek közötti, parancsfájlt alkalmazó támadással összefüggő probléma állt fenn a Safari böngészőben az RSS-hírcsatornák kezelésekor. A felhasználó rendszeréről a fájlok egy távoli kiszolgálóra kerülhettek, amikor ártó szándékkal létrehozott RSS-hírcsatornához fértek hozzá. A hibát az RSS-hírcsatornák hatékonyabb kezelésével küszöböltük ki. Köszönjük Billy Riosnak (Google Security Team) a probléma jelentését.

  • Safari

    • CVE-AZONOSÍTÓ: CVE-2010-1796

    • A következőkhöz érhető el: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 és újabb, Mac OS X Server 10.6.2 és újabb, Windows 7, Vista, XP SP2 és újabb

    • Érintett terület: A Safari automatikus kitöltési funkciója a felhasználó közreműködése nélkül oszthatott meg információkat a webhelyekkel

    • Leírás: A Safari automatikus kitöltési funkciója automatikusan kitöltheti a webes űrlapokat a Mac OS X Címtárából, az Outlookból vagy a Windows Címtárából származó adatokkal. Alapértelmezés szerint az automatikus kitöltési funkció csak a felhasználó beleegyezésével használható a webes űrlapokon. Egy implementációs hiba miatt az ártó szándékkal létrehozott weboldalak a felhasználó közreműködése nélkül is bekapcsolhatják az automatikus kitöltési funkciót. Ez azt eredményezheti, hogy elérhetővé válnak a felhasználó Címtárkártyájában található információk. A hiba akkor lép életbe, ha az alábbi két helyzet áll fenn. Az első kitétel, hogy a Safari beállításaiban az Automatikus kitöltés alatt található „Webes űrlapok automatikus kitöltése a Címtárkártyában található információkkal” jelölőnégyzet be legyen jelölve. A második, hogy a felhasználó Címtárában legyen egy „Saját kártya” besorolású kártya. Az Automatikus kitöltés csak ebben a megadott kártyában található információkhoz fér hozzá. A hibát azzal küszöböltük ki, hogy letiltottuk az Automatikus kitöltés számára, hogy felhasználói közreműködés nélkül használhasson fel információkat. Az iOS-t futtató eszközök nem érintettek. Köszönjük Jeremiah Grossmannek (WhiteHat Security) a probléma jelentését.

  • WebKit

    • CVE-AZONOSÍTÓ: CVE-2010-1780

    • A következőkhöz érhető el: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 és újabb, Mac OS X Server 10.6.2 és újabb, Windows 7, Vista, XP SP2 és újabb

    • Érintett terület: Az ártó szándékkal létrehozott webhelyek felkeresése váratlan alkalmazásleállást idézhetett elő, illetve önkényes kódfuttatást tehetett lehetővé.

    • Leírás: Felszabadítás utáni használattal kapcsolatos probléma lépett fel az elemfókusz WebKit általi kezelésekor. Az ártó szándékkal létrehozott webhelyek felkeresése váratlan alkalmazásleállást idézhetett elő, illetve önkényes kódfuttatást tehetett lehetővé. A hibát az elemfókusz kezelésének továbbfejlesztésével küszöböltük ki. Köszönjük Tony Changnek (Google Inc.) a probléma jelentését.

  • WebKit

    • CVE-AZONOSÍTÓ: CVE-2010-1782

    • A következőkhöz érhető el: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 és újabb, Mac OS X Server 10.6.2 és újabb, Windows 7, Vista, XP SP2 és újabb

    • Érintett terület: Az ártó szándékkal létrehozott webhelyek felkeresése váratlan alkalmazásleállást idézhetett elő, illetve önkényes kódfuttatást tehetett lehetővé.

    • Leírás: Memóriasérülési hiba lépett fel a beágyazott elemek WebKit általi renderelésekor. Az ártó szándékkal létrehozott webhelyek felkeresése váratlan alkalmazásleállást idézhetett elő, illetve önkényes kódfuttatást tehetett lehetővé. A határérték-ellenőrzés javításával kiküszöböltük a problémát. Köszönjük Wushinak (team509) a probléma jelentését.

  • WebKit

    • CVE-AZONOSÍTÓ: CVE-2010-1783

    • A következőkhöz érhető el: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 és újabb, Mac OS X Server 10.6.2 és újabb, Windows 7, Vista, XP SP2 és újabb

    • Érintett terület: Az ártó szándékkal létrehozott webhelyek felkeresése váratlan alkalmazásleállást idézhetett elő, illetve önkényes kódfuttatást tehetett lehetővé.

    • Leírás: Memóriasérülési hiba lépett fel a szöveges csomópontokon végrehajtott dinamikus módosítások WebKit általi kezelésekor. Az ártó szándékkal létrehozott webhelyek felkeresése váratlan alkalmazásleállást idézhetett elő, illetve önkényes kódfuttatást tehetett lehetővé. A memóriakezelés javításával küszöböltük ki a problémát.

  • WebKit

    • CVE-AZONOSÍTÓ: CVE-2010-1784

    • A következőkhöz érhető el: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 és újabb, Mac OS X Server 10.6.2 és újabb, Windows 7, Vista, XP SP2 és újabb

    • Érintett terület: Az ártó szándékkal létrehozott webhelyek felkeresése váratlan alkalmazásleállást idézhetett elő, illetve önkényes kódfuttatást tehetett lehetővé.

    • Leírás: Memóriasérülési hiba lépett fel a CSS-számlálók WebKit általi kezelésekor. Az ártó szándékkal létrehozott webhelyek felkeresése váratlan alkalmazásleállást idézhetett elő, illetve önkényes kódfuttatást tehetett lehetővé. A memóriakezelés javításával küszöböltük ki a problémát. Köszönjük Wushinak (team509), hogy a TippingPoint Zero Day Initiative kezdeményezésével együttműködve jelentette a problémát.

  • WebKit

    • CVE-AZONOSÍTÓ: CVE-2010-1785

    • A következőkhöz érhető el: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 és újabb, Mac OS X Server 10.6.2 és újabb, Windows 7, Vista, XP SP2 és újabb

    • Érintett terület: Az ártó szándékkal létrehozott webhelyek felkeresése váratlan alkalmazásleállást idézhetett elő, illetve önkényes kódfuttatást tehetett lehetővé.

    • Leírás: Nem inicializált memóriahozzáférési hiba lépett fel az SVG szöveges elemek „:first-letter” és „:first-line” pszeudoelemeinek WebKit általi kezelésekor. Az ártó szándékkal létrehozott webhelyek felkeresése váratlan alkalmazásleállást idézhetett elő, illetve önkényes kódfuttatást tehetett lehetővé. Ezt a hibát azzal küszöböltük ki, hogy nem rendereljük az SVG szöveges elemek „:first-letter” vagy „:first-line” pszeudoelemeit. Köszönjük Wushinak (team509), hogy a TippingPoint Zero Day Initiative kezdeményezésével együttműködve jelentette a problémát.

  • WebKit

    • CVE-AZONOSÍTÓ: CVE-2010-1786

    • A következőkhöz érhető el: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 és újabb, Mac OS X Server 10.6.2 és újabb, Windows 7, Vista, XP SP2 és újabb

    • Érintett terület: Az ártó szándékkal létrehozott webhelyek felkeresése váratlan alkalmazásleállást idézhetett elő, illetve önkényes kódfuttatást tehetett lehetővé.

    • Leírás: Felszabadítás utáni használattal kapcsolatos probléma lépett fel az SVG-dokumentumok „foreignObject” elemeinek WebKit általi kezelésekor. Az ártó szándékkal létrehozott webhelyek felkeresése váratlan alkalmazásleállást idézhetett elő, illetve önkényes kódfuttatást tehetett lehetővé. Ezt a hibát az SVG-dokumentumok megerősített hitelesítésével küszöböltük ki. Köszönjük Wushinak (team509), hogy a TippingPoint Zero Day Initiative kezdeményezésével együttműködve jelentette a problémát.

  • WebKit

    • CVE-AZONOSÍTÓ: CVE-2010-1787

    • A következőkhöz érhető el: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 és újabb, Mac OS X Server 10.6.2 és újabb, Windows 7, Vista, XP SP2 és újabb

    • Érintett terület: Az ártó szándékkal létrehozott webhelyek felkeresése váratlan alkalmazásleállást idézhetett elő, illetve önkényes kódfuttatást tehetett lehetővé.

    • Leírás: Memóriasérülési hiba lépett fel az SVG-dokumentumok lebegő elemeinek WebKit általi kezelésekor. Az ártó szándékkal létrehozott webhelyek felkeresése váratlan alkalmazásleállást idézhetett elő, illetve önkényes kódfuttatást tehetett lehetővé. A memóriakezelés javításával küszöböltük ki a problémát. Köszönjük Wushinak (team509), hogy a TippingPoint Zero Day Initiative kezdeményezésével együttműködve jelentette a problémát.

  • WebKit

    • CVE-AZONOSÍTÓ: CVE-2010-1788

    • A következőkhöz érhető el: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 és újabb, Mac OS X Server 10.6.2 és újabb, Windows 7, Vista, XP SP2 és újabb

    • Érintett terület: Az ártó szándékkal létrehozott webhelyek felkeresése váratlan alkalmazásleállást idézhetett elő, illetve önkényes kódfuttatást tehetett lehetővé.

    • Leírás: Memóriasérülési hiba lépett fel az SVG-dokumentumok „use” elemeinek WebKit általi kezelésekor. Az ártó szándékkal létrehozott webhelyek felkeresése váratlan alkalmazásleállást idézhetett elő, illetve önkényes kódfuttatást tehetett lehetővé. A hibát az SVG-dokumentumok „use” elemeinek hatékonyabb kezelésével küszöböltük ki. Köszönjük Justin Schuhnak (Google Inc.) a probléma jelentését.

  • WebKit

    • CVE-AZONOSÍTÓ: CVE-2010-1789

    • A következőkhöz érhető el: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 és újabb, Mac OS X Server 10.6.2 és újabb, Windows 7, Vista, XP SP2 és újabb

    • Érintett terület: Az ártó szándékkal létrehozott webhelyek felkeresése váratlan alkalmazásleállást idézhetett elő, illetve önkényes kódfuttatást tehetett lehetővé.

    • Leírás: Halompuffer-túlcsordulás lépett fel a JavaScript-sztringobjektumok WebKit általi kezelésekor. Az ártó szándékkal létrehozott webhelyek felkeresése váratlan alkalmazásleállást idézhetett elő, illetve önkényes kódfuttatást tehetett lehetővé. A határérték-ellenőrzés javításával kiküszöböltük a problémát. A probléma elhárítását az Apple kezdeményezte.

  • WebKit

    • CVE-AZONOSÍTÓ: CVE-2010-1790

    • A következőkhöz érhető el: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 és újabb, Mac OS X Server 10.6.2 és újabb, Windows 7, Vista, XP SP2 és újabb

    • Érintett terület: Az ártó szándékkal létrehozott webhelyek felkeresése váratlan alkalmazásleállást idézhetett elő, illetve önkényes kódfuttatást tehetett lehetővé.

    • Leírás: Újrabelépési probléma lépett fel az igény szerint fordított JavaScript-metódustörzsek WebKit általi kezelésekor. Az ártó szándékkal létrehozott webhelyek felkeresése váratlan alkalmazásleállást idézhetett elő, illetve önkényes kódfuttatást tehetett lehetővé. A hibát a szinkronizálás javításával küszöböltük ki.

  • WebKit

    • CVE-AZONOSÍTÓ: CVE-2010-1791

    • A következőkhöz érhető el: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 és újabb, Mac OS X Server 10.6.2 és újabb, Windows 7, Vista, XP SP2 és újabb

    • Érintett terület: Az ártó szándékkal létrehozott webhelyek felkeresése váratlan alkalmazásleállást idézhetett elő, illetve önkényes kódfuttatást tehetett lehetővé.

    • Leírás: Aláírási probléma lépett fel a JavaScript-tömbök WebKit általi kezelésekor. Az ártó szándékkal létrehozott webhelyek felkeresése váratlan alkalmazásleállást idézhetett elő, illetve önkényes kódfuttatást tehetett lehetővé. A hibát a JavaScript-tömbindexek hatékonyabb kezelésével küszöböltük ki. Köszönjük Natalie Silvanovichnak a probléma jelentését.

  • WebKit

    • CVE-AZONOSÍTÓ: CVE-2010-1792

    • A következőkhöz érhető el: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 és újabb, Mac OS X Server 10.6.2 és újabb, Windows 7, Vista, XP SP2 és újabb

    • Érintett terület: Az ártó szándékkal létrehozott webhelyek felkeresése váratlan alkalmazásleállást idézhetett elő, illetve önkényes kódfuttatást tehetett lehetővé.

    • Leírás: Memóriasérülési hiba lépett fel a reguláris kifejezések WebKit általi kezelésekor. Az ártó szándékkal létrehozott webhelyek felkeresése váratlan alkalmazásleállást idézhetett elő, illetve önkényes kódfuttatást tehetett lehetővé. A hibát a reguláris kifejezések hatékonyabb kezelésével küszöböltük ki. Köszönjük Varga Péternek (Szegedi Tudományegyetem) a probléma jelentését.

  • WebKit

    • CVE-AZONOSÍTÓ: CVE-2010-1793

    • A következőkhöz érhető el: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 és újabb, Mac OS X Server 10.6.2 és újabb, Windows 7, Vista, XP SP2 és újabb

    • Érintett terület: Az ártó szándékkal létrehozott webhelyek felkeresése váratlan alkalmazásleállást idézhetett elő, illetve önkényes kódfuttatást tehetett lehetővé.

    • Leírás: Felszabadítás utáni használattal kapcsolatos probléma lépett fel az SVG dokumentumok „font-face” és „use” elemeinek WebKit általi kezelésekor. Az ártó szándékkal létrehozott webhelyek felkeresése váratlan alkalmazásleállást idézhetett elő, illetve önkényes kódfuttatást tehetett lehetővé. A hibát az SVG-dokumentumok „font-face” és „use” elemeinek hatékonyabb kezelésével küszöböltük ki. Köszönjük Aki Helinnek (OUSPG) a probléma jelentését.

Fontos: A külső felek webhelyeinek és termékeinek megemlítése kizárólag tájékoztató célt szolgál, és nem értelmezhető sem jóváhagyásként, sem ajánlásként. Az Apple nem vállal felelősséget a harmadik felek webhelyein található információk vagy termékek választékáért, működéséért vagy használatáért. Az Apple ezt csak a felhasználók kényelme érdekében teszi elérhetővé. Az Apple nem tesztelte az ilyen webhelyeken található információkat, és nem tesz nyilatkozatot a pontosságukról vagy a megbízhatóságukról. Az interneten található információk vagy termékek használata kockázatokkal járhat, és az Apple nem vállal felelősséget ezekért. Vegye figyelembe, hogy a harmadik felek webhelyei függetlenek az Apple-től, és az Apple nincs ráhatással az adott webhely tartalmára. További információkért vegye fel a kapcsolatot a gyártóval.

Közzététel dátuma: