Informacje o funkcjach programu Safari 4.0.5 dotyczących zabezpieczeń

Ten dokument zawiera informacje o funkcjach programu Safari 4.0.5 dotyczących zabezpieczeń.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

Safari 4.0.5

  • ColorSync

    Identyfikator CVE: CVE-2010-0040

    Dostępne dla: Windows 7, Windows Vista, Windows XP

    Zagrożenie: wyświetlenie złośliwie spreparowanego obrazu z osadzonym profilem kolorów może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi obrazów z osadzonym profilem kolorów występuje przepełnienie całkowitoliczbowe, które może spowodować przepełnienie buforu sterty. Otwarcie złośliwie spreparowanego obrazu z osadzonym profilem kolorów może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu. Rozwiązanie tego problemu polega na przeprowadzeniu dodatkowej weryfikacji profilów kolorów. Ten problem nie występuje na komputerach z systemem Mac OS X. Problem zgłosił Sebastien Renaud z zespołu VUPEN Vulnerability Research Team.

  • ImageIO

    Identyfikator CVE: CVE-2009-2285

    Dostępne dla: Windows 7, Windows Vista, Windows XP

    Zagrożenie: wyświetlenie złośliwie spreparowanego obrazu TIFF może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi obrazów TIFF przez pakiet ImageIO występuje niedomiar buforu. Wyświetlenie złośliwie spreparowanego obrazu TIFF może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu. Rozwiązanie tego problemu polega na poprawieniu mechanizmu sprawdzania ograniczeń. W przypadku systemu Mac OS X 10.6 ten problem został rozwiązany w wersji 10.6.2. W przypadku systemu Mac OS X 10.5 ten problem został rozwiązany w Uaktualnieniu zabezpieczeń 2010-001.

  • ImageIO

    Identyfikator CVE: CVE-2010-0041

    Dostępne dla: Windows 7, Windows Vista, Windows XP

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny internetowej może doprowadzić do wysłania danych z pamięci przeglądarki Safari do tej witryny.

    Opis: w procedurach obsługi obrazów BMP przez pakiet ImageIO występuje błąd niezainicjowanego dostępu do pamięci. Odwiedzenie złośliwie spreparowanej witryny internetowej może doprowadzić do wysłania danych z pamięci przeglądarki Safari do tej witryny. Rozwiązanie tego problemu polega na poprawieniu procedur obsługi pamięci oraz zastosowaniu dodatkowej procedury weryfikacji obrazów BMP. Problem zgłosił Matthew „j00ru” Jurczyk z firmy Hispasec.

  • ImageIO

    Identyfikator CVE: CVE-2010-0042

    Dostępne dla: Windows 7, Windows Vista, Windows XP

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny internetowej może doprowadzić do wysłania danych z pamięci przeglądarki Safari do tej witryny.

    Opis: w procedurach obsługi obrazów TIFF przez pakiet ImageIO występuje błąd niezainicjowanego dostępu do pamięci. Odwiedzenie złośliwie spreparowanej witryny internetowej może doprowadzić do wysłania danych z pamięci przeglądarki Safari do tej witryny. Rozwiązanie tego problemu polega na poprawieniu procedur obsługi pamięci oraz zastosowaniu dodatkowej procedury weryfikacji obrazów TIFF. Problem zgłosił Matthew „j00ru” Jurczyk z firmy Hispasec.

  • ImageIO

    Identyfikator CVE: CVE-2010-0043

    Dostępne dla: Windows 7, Windows Vista, Windows XP

    Zagrożenie: przetworzenie złośliwie spreparowanego obrazu TIFF może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi obrazów TIFF występuje błąd powodujący uszkodzenie zawartości pamięci. Przetworzenie złośliwie spreparowanego obrazu TIFF może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu. Rozwiązanie problemu polega na poprawieniu procedur obsługi pamięci. Problem zgłosił Gus Mueller z firmy Flying Meat.

  • Wyszukiwarka PubSub

    Identyfikator CVE: CVE-2010-0044

    Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 lub nowszego, Mac OS X Server 10.6.1 lub nowszego, Windows 7, Windows Vista, Windows XP

    Zagrożenie: odwiedzenie lub uaktualnienie źródła może spowodować ustawienie pliku cookie, nawet jeśli przeglądarka Safari została skonfigurowana do blokowania plików cookie.

    Opis: w procedurach obsługi plików cookie ustawianych przez źródła RSS i Atom istnieje błąd implementacji. Zagrożenie: odwiedzenie lub uaktualnienie źródła może spowodować ustawienie pliku cookie, nawet jeśli przeglądarka Safari została skonfigurowana do blokowania plików cookie za pomocą preferencji „Akceptuj pliki cookie”. To uaktualnienie rozwiązuje problem przez uwzględnianie tej preferencji podczas uaktualniania lub wyświetlania źródeł.

  • Safari

    Identyfikator CVE: CVE-2010-0045

    Dostępne dla: Windows 7, Windows Vista, Windows XP

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować wykonanie dowolnego kodu.

    Opis: błąd w procedurach obsługi zewnętrznych schematów adresów URL w przeglądarce Safari może doprowadzić do otwarcia lokalnego pliku w odpowiedzi na adres URL napotkany na stronie internetowej. Odwiedzenie złośliwie spreparowanej witryny może spowodować wykonanie dowolnego kodu. To uaktualnienie rozwiązuje problem przez poprawienie procedur sprawdzania poprawności zewnętrznych adresów URL. Ten problem nie występuje na komputerach z systemem Mac OS X. Problem zgłosił Billy Rios z działu Microsoft Vulnerability Research (MSVR).

  • WebKit

    Identyfikator CVE: CVE-2010-0046

    Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 lub nowszego, Mac OS X Server 10.6.1 lub nowszego, Windows 7, Windows Vista, Windows XP

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi argumentów CSS format() przez oprogramowanie WebKit występuje błąd powodujący uszkodzenie zawartości pamięci. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania programu lub wykonania dowolnego kodu. Rozwiązanie problemu polega na poprawieniu procedur obsługi argumentów CSS format(). Problem zgłosił Robert Święcki z firmy Google Inc.

  • WebKit

    Identyfikator CVE: CVE-2010-0047

    Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 lub nowszego, Mac OS X Server 10.6.1 lub nowszego, Windows 7, Windows Vista, Windows XP

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi rezerwowej zawartości elementu obiektu HTML istnieje błąd dotyczący używania po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania programu lub wykonania dowolnego kodu. Rozwiązanie tego problemu polega na poprawieniu procedur śledzenia odwołań do pamięci. Problem zgłosił użytkownik wushi z grupy team509 w ramach programu Zero Day Initiative firmy TippingPoint.

  • WebKit

    Identyfikator CVE: CVE-2010-0048

    Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 lub nowszego, Mac OS X Server 10.6.1 lub nowszego, Windows 7, Windows Vista, Windows XP

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.

    Opis: w procedurach przetwarzania dokumentów XML przez oprogramowanie WebKit istnieje błąd dotyczący używania po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania programu lub wykonania dowolnego kodu. Rozwiązanie tego problemu polega na poprawieniu procedur śledzenia odwołań do pamięci. Problem zgłosił użytkownik wushi z grupy team509 w ramach programu Zero Day Initiative firmy TippingPoint.

  • WebKit

    Identyfikator CVE: CVE-2010-0049

    Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 lub nowszego, Mac OS X Server 10.6.1 lub nowszego, Windows 7, Windows Vista, Windows XP

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi elementów HTML zawierających tekst wyświetlany od prawej do lewej istnieje błąd dotyczący używania po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania programu lub wykonania dowolnego kodu. Rozwiązanie problemu polega na poprawieniu procedur śledzenia odwołań do pamięci. Problem zgłosił użytkownik wushi z grupy team509 w ramach programu Zero Day Initiative firmy TippingPoint.

  • WebKit

    Identyfikator CVE: CVE-2010-0050

    Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 lub nowszego, Mac OS X Server 10.6.1 lub nowszego, Windows 7, Windows Vista, Windows XP

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi błędnie zagnieżdżonych znaczników HTML przez oprogramowanie WebKit istnieje błąd dotyczący używania po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania programu lub wykonania dowolnego kodu. Rozwiązanie problemu polega na poprawieniu procedur śledzenia odwołań do pamięci. Problem zgłosił użytkownik wushi z grupy team509 w ramach programu Zero Day Initiative firmy TippingPoint.

  • WebKit

    Identyfikator CVE: CVE-2010-0051

    Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 lub nowszego, Mac OS X Server 10.6.1 lub nowszego, Windows 7, Windows Vista, Windows XP

    Zagrożenie: odwiedzenie specjalnie spreparowanej witryny może doprowadzić do ujawnienia poufnych informacji

    Opis: w procedurach obsługi żądań arkuszy stylów pochodzących z różnych źródeł w oprogramowaniu WebKit istnieje błąd implementacji. Odwiedzenie złośliwie spreparowanej witryny internetowej może ujawnić zawartość chronionych zasobów na innej witrynie. To uaktualnienie rozwiązuje problem przez dodatkowe sprawdzanie poprawności arkuszy stylów wczytywanych podczas żądania pochodzącego z różnych źródeł.

  • WebKit

    Identyfikator CVE: CVE-2010-0052

    Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 lub nowszego, Mac OS X Server 10.6.1 lub nowszego, Windows 7, Windows Vista, Windows XP

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi wywołań zwrotnych dla elementów HTML przez oprogramowanie WebKit istnieje błąd dotyczący używania po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania programu lub wykonania dowolnego kodu. Rozwiązanie problemu polega na poprawieniu procedur śledzenia odwołań do pamięci. Problem został wykryty przez firmę Apple.

  • WebKit

    Identyfikator CVE: CVE-2010-0053

    Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 lub nowszego, Mac OS X Server 10.6.1 lub nowszego, Windows 7, Windows Vista, Windows XP

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.

    Opis: w procedurach renderowania zawartości przy ustawieniu właściwości wyświetlenia arkusza CSS na opcję „run-in” istnieje błąd dotyczący używania po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania programu lub wykonania dowolnego kodu. Rozwiązanie problemu polega na poprawieniu procedur śledzenia odwołań do pamięci. Problem zgłosił użytkownik wushi z grupy team509 w ramach programu Zero Day Initiative firmy TippingPoint.

  • WebKit

    Identyfikator CVE: CVE-2010-0054

    Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 lub nowszego, Mac OS X Server 10.6.1 lub nowszego, Windows 7, Windows Vista, Windows XP

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi elementów obrazów HTML przez oprogramowanie WebKit istnieje błąd dotyczący używania po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania programu lub wykonania dowolnego kodu. Rozwiązanie problemu polega na poprawieniu procedur śledzenia odwołań do pamięci. Problem został wykryty przez firmę Apple.

Data publikacji: