Informacje o uaktualnieniu zabezpieczeń w przeglądarce Safari 4 (publicznej wersji Beta)

W tym dokumencie opisano uaktualnienie zabezpieczeń w przeglądarce Safari 4 (publicznej wersji Beta).

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń dla bezpieczeństwa przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

Uaktualnienie zabezpieczeń w przeglądarce Safari 4 (publicznej wersji Beta)

• libxml

  Identyfikator CVE: CVE-2008-3529

  Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP lub Windows Vista

  Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.

  Opis: w procedurach obsługi długich nazw jednostek w bibliotece libxml istnieje błąd, który może spowodować przepełnienie buforu sterty. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez ulepszenie sprawdzania granic. Problem ten rozwiązano w wersji Safari 3.2.3.

• Safari

  Identyfikator CVE: CVE-2009-0162

  Dostępne dla: Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP lub Windows Vista

  Zagrożenie: uzyskanie dostępu do złośliwie spreparowanego adresu URL źródła danych może doprowadzić do wykonania dowolnego kodu.

  Opis: w procedurach obsługi adresów URL źródeł danych w programie Safari istnieje wiele problemów dotyczących sprawdzania poprawności danych wejściowych. Uzyskanie dostępu do złośliwie spreparowanego adresu URL typu „feed:” może spowodować wykonanie dowolnego skryptu JavaScript. To uaktualnienie rozwiązuje ten problem, wprowadzając dodatkowe procedury sprawdzania poprawności adresów URL typu „feed:”. Te problemy nie występują w systemach starszych niż Mac OS X 10.5. Problemy te zostały rozwiązane w wersji Safari 3.2.3. Zgłosili je Billy Rios z działu Microsoft Vulnerability Research (MSVR) oraz Alfredo Melloni.

• WebKit

  Identyfikator CVE: CVE-2009-0945

  Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP lub Windows Vista

  Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do wykonania dowolnego kodu.

  Opis: w procedurach obsługi obiektów SVGList w programie WebKit istnieje błąd, który może spowodować uszkodzenie zawartości pamięci. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do wykonania dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez ulepszenie sprawdzania granic. Ten problem został rozwiązany w wersji Safari 3.2.3. Problem ten zgłosił Nils współpracujący z inicjatywą Zero Day Initiative firmy TippingPoint.