Informacje o funkcjach dotyczących zabezpieczeń w przeglądarce Safari 3.2

W tym dokumencie opisano funkcje dotyczące zabezpieczeń w przeglądarce Safari 3.2.

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń dla bezpieczeństwa przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

Safari 3.2

  • Safari

    Identyfikator CVE: CVE-2005-2096

    Dostępne dla: Windows XP lub Vista

    Zagrożenie: liczne luki w bibliotece zlib 1.2.2

    Opis: w bibliotece zlib 1.2.2 występują liczne luki, z których najpoważniejsze mogą spowodować zablokowanie usługi. To uaktualnienie rozwiązuje te problemy przez aktualizację do wersji zlib 1.2.3. Błędy te nie występują w systemach Mac OS X. Problemy te zgłosili Robbie Joosten z bioinformatics@school i David Gunnells z University of Alabama w Birmingham.

  • Safari

    Identyfikator CVE: CVE-2008-1767

    Dostępne dla: Windows XP lub Vista

    Zagrożenie: przetworzenie dokumentu XML może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w bibliotece libxslt występuje błąd, który może spowodować przepełnienie buforu sterty. Wyświetlenie złośliwie spreparowanej strony HTML może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Więcej informacji na temat zastosowanej poprawki można znaleźć na stronie http://xmlsoft.org/XSLT/ Błąd ten nie występuje w systemach Mac OS X, w których zastosowano uaktualnienie zabezpieczeń 2008-007. Problem ten zgłosili Anthony de Almeida Lopes z firmy Outpost24 AB i Chris Evans z Google Security Team.

  • Safari

    Identyfikator CVE: CVE-2008-3623

    Dostępne dla: Windows XP lub Vista

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.

    Opis: podczas obsługi przestrzeni barwnych przez CoreGraphics występuje błąd, który może spowodować przepełnienie buforu sterty. Wyświetlenie specjalnie spreparowanego obrazu może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez ulepszenie sprawdzania granic. Problem wykryła firma Apple.

  • Safari

    Identyfikator CVE: CVE-2008-2327

    Dostępne dla: Windows XP lub Vista

    Zagrożenie: wyświetlenie złośliwie spreparowanego obrazu TIFF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: podczas obsługi zakodowanych w LZW obrazów TIFF przez bibliotekę libTIFF występują liczne błędy związane z dostępem do pamięci niezainicjowanej. Wyświetlenie złośliwie spreparowanego obrazu TIFF może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje problem przez właściwą inicjację pamięci i dodatkowe sprawdzenie poprawności obrazów TIFF. Problem ten rozwiązano w systemach Mac OS X w wersji 10.5.5 lub późniejszej oraz w systemach Mac OS X w wersji 10.4.11, w których zastosowano uaktualnienie zabezpieczeń 2008-006. Problem wykryła firma Apple.

  • Safari

    Identyfikator CVE: CVE-2008-2332

    Dostępne dla: Windows XP lub Vista

    Zagrożenie: wyświetlenie złośliwie spreparowanego obrazu TIFF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: podczas obsługi obrazów TIFF przez ImageIO występuje błąd związany z uszkodzeniem pamięci. Wyświetlenie złośliwie spreparowanego obrazu TIFF może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez poprawę przetwarzania obrazów TIFF. Problem ten rozwiązano w systemach Mac OS X w wersji 10.5.5 lub późniejszej oraz w systemach Mac OS X w wersji 10.4.11, w których zastosowano uaktualnienie zabezpieczeń 2008-006. Problem ten zgłosił Robert Święcki z Google Security Team.

  • Safari

    Identyfikator CVE: CVE-2008-3608

    Dostępne dla: Windows XP lub Vista

    Zagrożenie: wyświetlenie dużego złośliwie spreparowanego obrazu JPEG może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: podczas obsługi osadzonych w obrazach JPEG profili ICC występuje błąd związany z uszkodzeniem pamięci. Wyświetlenie dużego złośliwie spreparowanego obrazu JPEG może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez poprawę przetwarzania profili ICC. Problem ten rozwiązano w systemach Mac OS X w wersji 10.5.5 lub późniejszej oraz w systemach Mac OS X w wersji 10.4.11, w których zastosowano uaktualnienie zabezpieczeń 2008-006. Problem wykryła firma Apple.

  • Safari

    Identyfikator CVE: CVE-2008-3642

    Dostępne dla: Windows XP lub Vista

    Zagrożenie: wyświetlenie złośliwie spreparowanego obrazu może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.

    Opis: podczas obsługi obrazów z osadzonym profilem ICC występuje błąd, który może spowodować przepełnienie buforu. Otwarcie złośliwie spreparowanego obrazu z osadzonym profilem ICC może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez przeprowadzenie dodatkowego sprawdzenia poprawności profili ICC w obrazach. Ten problem nie występuje w systemach Mac OS X, w których zastosowano uaktualnienie zabezpieczeń 2008-007. Problem wykryła firma Apple.

  • Safari

    Identyfikator CVE: CVE-2008-3644

    Dostępne dla: Mac OS X 10.4.11, Mac OS X 10.5.5, Windows XP lub Vista

    Zagrożenie: informacje poufne mogą zostać ujawnione lokalnemu użytkownikowi konsoli.

    Opis: wyłączenie funkcji autouzupełniania w polu formularza może nie zapobiec przechowywaniu danych z pola w pamięci podręcznej strony przeglądarki. Może to spowodować ujawnienie informacji poufnych lokalnemu użytkownikowi. To uaktualnienie rozwiązuje problem przez właściwe usunięcie danych formularza. Problem ten zgłosił anonimowy badacz.

  • WebKit

    Identyfikator CVE: CVE-2008-2303

    Dostępne dla: Mac OS X 10.4.11, Mac OS X 10.5.5, Windows XP lub Vista

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.

    Opis: problem związany ze znakowością zmiennych podczas obsługi indeksów tablic JavaScript w przeglądarce Safari może skutkować dostępem do pamięci spoza zakresu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez wykonywanie dodatkowego sprawdzania indeksów tablic JavaScript. Problem zgłosił użytkownik SkyLined z firmy Google.

  • WebKit

    Identyfikator CVE: CVE-2008-2317

    Dostępne dla: Mac OS X 10.4.11, Mac OS X 10.5.5, Windows XP lub Vista

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.

    Opis: podczas obsługi elementów arkusza stylów przez WebCore występuje błąd związany z uszkodzeniem pamięci. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez poprawę odśmiecania. Problem zgłosił anonimowy badacz współpracujący z inicjatywą TippingPoint Zero Day Initiative.

  • WebKit

    Identyfikator CVE: CVE-2008-4216

    Dostępne dla: Mac OS X 10.4.11, Mac OS X 10.5.5, Windows XP lub Vista

    Zagrożenie: odwiedzenie złośliwe spreparowanej witryny może spowodować ujawnienie informacji poufnych.

    Opis: interfejs wtyczki WebKit nie blokuje uruchamiania przez wtyczki lokalnych adresów URL. Odwiedzenie złośliwie spreparowanej witryny umożliwia osobie przeprowadzającej zdalny atak uruchomienie lokalnych plików w przeglądarce Safari, co może spowodować ujawnienie informacji poufnych. To uaktualnienie rozwiązuje problem przez ograniczenie liczby typów adresów URL, które mogą zostać uruchomione za pośrednictwem interfejsu wtyczki. Problem ten zgłosili Billy Rios z firmy Microsoft i Nitesh Dhanjani z firmy Ernst & Young.

Ważne: wzmianka o witrynach internetowych i produktach osób trzecich ma charakter wyłącznie informacyjny i nie stanowi rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności w związku z wyborem, działaniem lub korzystaniem z informacji lub produktów znalezionych w witrynach internetowych osób trzecich. Apple podaje je tylko jako udogodnienie dla naszych użytkowników. Firma Apple nie przetestowała informacji znalezionych w tych witrynach i nie składa żadnych oświadczeń dotyczących ich dokładności lub wiarygodności. Korzystanie z jakichkolwiek informacji lub produktów znalezionych w Internecie wiąże się z ryzykiem, a Apple nie ponosi żadnej odpowiedzialności w tym zakresie. Należy pamiętać, że witryna osoby trzeciej jest niezależna od Apple i że Apple nie ma kontroli nad zawartością tej witryny. Dodatkowe informacje można uzyskać, kontaktując się z dostawcą.

Data publikacji: