Zawartość związana z zabezpieczeniami w przeglądarkach Safari 5.0 i Safari 4.1
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w przeglądarkach Safari 5.0 i Safari 4.1.
W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie.
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
Safari 5.0
ColorSync
Identyfikator CVE: CVE-2009-1726
Dostępne dla: systemów Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: wyświetlanie złośliwie spreparowanego obrazu z osadzonym profilem ColorSync może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w procedurze obsługi obrazów z osadzonym profilem ColorSync występuje przepełnienie buforu sterty. Otwarcie złośliwie spreparowanego obrazu z osadzonym profilem ColorSync może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności profili ColorSync. Problem zgłosili Chris Evans z Google Security Team i Andrzej Dyjak.
ImageIO
Identyfikator CVE: CVE-2010-1411
Dostępne: systemów Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: otwarcie złośliwie spreparowanego pliku TIFF może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: przepełnienie całkowitoliczbowe w obsłudze plików TIFF może spowodować przepełnienie bufora sterty. Otwarcie złośliwie spreparowanego pliku TIFF może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Błędy naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń. Problemy zgłosił Kevin Finisterre z digitalmunition.com.
Safari
Identyfikator CVE: CVE-2010-1384
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: złośliwie spreparowany adres URL może zostać zaciemniony, co zwiększa skuteczność ataków phishingowych.
Opis: przeglądarka Safari obsługuje dołączanie informacji o użytkowniku do adresów URL, co umożliwia adresowi URL określenie nazwy użytkownika i hasła w celu uwierzytelnienia użytkownika na określonym serwerze. Adresy URL są często używane do zmylenia użytkowników, co może potencjalnie pomóc w atakach phishingowych. Przeglądarka Safari została zaktualizowana w celu wyświetlenia ostrzeżenia przed przejściem do adresu URL HTTP lub HTTPS zawierającego informacje o użytkowniku. Problem zgłosił Abhishek Arya z firmy Google Inc.
Safari
Identyfikator CVE: CVE-2010-1385
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w procedurze obsługi plików PDF w przeglądarce Safari występuje błąd dotyczący użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem rozwiązano przez poprawienie procedury obsługi plików PDF. Problem zgłosił Borja Marcos z Sarenet.
Safari
Identyfikator CVE: CVE-2010-1750
Dostępne dla: systemów Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w procedurze zarządzania oknami przez przeglądarkę Safari występuje błąd dotyczący użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem rozwiązano przez poprawienie procedury zarządzania oknami. Ten problem nie występuje na komputerach z systemem Mac OS X.
WebKit
Identyfikator CVE: CVE-2010-1388
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych
Zagrożenie: przeciąganie lub wklejanie łączy lub obrazów może prowadzić do ujawnienia informacji.
Opis: w procedurze obsługi adresów URL w schowku przez oprogramowanie WebKit występuje błąd implementacyjny. Odwiedzenie złośliwie spreparowanej witryny internetowej i przeciągnięcie lub wklejenie łączy lub obrazów może spowodować wysłanie plików z systemu użytkownika na zdalny serwer. Ten problem rozwiązano przez dodatkowe sprawdzanie poprawności adresów URL w schowku. Problem nie dotyczy komputerów z systemem Windows. Problem zgłosił Eric Seidel z Google, Inc.
WebKit
Identyfikator CVE: CVE-2010-1389
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: przeciągnięcie lub wklejenie zaznaczenia może spowodować atak XSS (cross-site scripting).
Opis: przeciągnięcie lub wklejenie zaznaczenia z jednej witryny do drugiej może pozwolić na wykonanie skryptów zawartych w zaznaczeniu w kontekście nowej witryny. Ten problem rozwiązano przez wprowadzenie dodatkowych procedur sprawdzania poprawności zawartości przed wykonaniem operacji przeciągania lub wklejania i upuszczania. Problem zgłosił Paul Stone z Context Information Security.
WebKit
Identyfikator CVE: CVE-2010-1390
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie witryny internetowej korzystającej z kodowania UTF-7 może spowodować atak XSS (cross-site scripting).
Opis: w procedurze obsługi tekstu zakodowanego w formacie UTF-7 przez oprogramowanie WebKit występuje błąd związany z kanonizacją. Ciąg HTML w znakach cudzysłowu może pozostać niezakończony, prowadząc do ataku XSS (cross-site scripting) lub innych problemów. Ten problem został rozwiązany poprzez usunięcie obsługi kodowania UTF-7 w WebKit. Problem zgłosił Masahiro Yamada.
WebKit
Identyfikator CVE: CVE-2010-1391
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować utworzenie plików w dowolnych lokalizacjach do zapisu przez użytkownika.
Opis: w obsłudze przez oprogramowanie WebKit pamięci lokalnej i baz danych Web SQL występuje błąd „path traversal”. Jeśli dostęp do niego uzyskano ze schematu zdefiniowanego przez aplikację zawierającego '%2f' (/) lub '%5c' (\) i '..' W sekcji hosta adresu URL złośliwie spreparowana witryna internetowa może spowodować utworzenie plików bazy danych poza wyznaczonym katalogiem. Problem ten jest rozwiązywany poprzez kodowanie znaków, które mogą mieć specjalne znaczenie w nazwach ścieżek. Ten problem nie dotyczy witryn obsługiwanych z poziomu schematów http: lub https:. Problem wykryła firma Apple.
WebKit
Identyfikator CVE: CVE-2010-1392
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w procedurze renderowania przycisków HTML przez oprogramowanie WebKit występuje błąd dotyczący użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten błąd naprawiono przez poprawienie procedur zarządzania pamięcią. Problem zgłosił Matthieu Bonetti z VUPEN Vulnerability Research Team oraz wushi of team509 w ramach programu Zero Day Initiative firmy TippingPoint.
WebKit
Identyfikator CVE: CVE-2010-1393
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować ujawnienie poufnych informacji.
Opis: w procedurze obsługi kaskadowych arkuszy stylów przez oprogramowanie WebKit istnieje błąd umożliwiający ujawnianie informacji. Jeśli atrybut HREF arkusza stylów jest ustawiony na adres URL, który powoduje przekierowanie, skrypty na stronie mogą mieć dostęp do przekierowanego adresu URL. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do ujawnienia wrażliwego adresu URL w innej witrynie. Problem ten został rozwiązywany przez zwrócenie oryginalnego adresu URL do skryptów, a nie przekierowanego adresu URL.
WebKit
Identyfikator CVE: CVE-2010-1119
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 lub nowszych, Mac OS X Server 10.6.1 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w procedurze obsługi manipulacji atrybutami przez oprogramowanie WebKit występuje błąd dotyczący użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Problem ten rozwiązano przez poprawienie mechanizmu śledzenia odwołań do pamięci. Problem zgłosili: Vincenzo Iozzo i Ralf Philipp Weinmann z programu Zero Day Initiative firmy TippingPoint oraz Michał Zalewski z firmy Google, Inc.
WebKit
Identyfikator CVE: CVE-2010-1394
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować atak XSS (cross-site scripting).
Opis: w procedurze obsługi fragmentów dokumentów HTML przez oprogramowanie WebKit występuje błąd projektowy. Zawartość fragmentów dokumentu HTML jest przetwarzana przed dodaniem fragmentu do dokumentu. Odwiedzenie złośliwie spreparowanej witryny internetowej może prowadzić do ataku XSS (cross-site scripting), jeśli legalna witryna internetowa próbuje manipulować fragmentem dokumentu, zawierającym niezaufane dane. Problem został rozwiązywany poprzez zapewnienie, że początkowa analiza fragmentów nie ma niepożądanych skutków ubocznych dla dokumentu, który utworzył fragment. Problem zgłosił Eduardo Vela Nava (sirdarckcat) z firmy Google Inc.
WebKit
Identyfikator CVE: CVE-2010-1422
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: interakcja ze złośliwie spreparowaną witryną może spowodować nieoczekiwane działania w innych witrynach.
Opis: w procedurze obsługi fokusu klawiatury przez oprogramowanie WebKit występuje błąd implementacyjny. Jeśli fokus klawiatury zmieni się podczas przetwarzania naciśnięć klawiszy, oprogramowanie WebKit może dostarczyć zdarzenie do nowo sfokusowanej ramki, zamiast do ramki, która miała fokus w momencie naciśnięcia klawisza. Złośliwie spreparowana witryna internetowa może być w stanie zmanipulować użytkownika, aby podjął nieoczekiwane działanie, takie jak zainicjowanie zakupu. Ten problem rozwiązano przez uniemożliwienie dostarczania zdarzeń naciśnięć klawiszy, jeśli fokus klawiatury zmieni się podczas przetwarzania. Problem zgłosił Michał Zalewski z Google Inc.
WebKit
Identyfikator CVE: CVE-2010-1395
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie złośliwej witryny może spowodować atak XSS (cross-site scripting).
Opis: w procedurze obsługi obiektów konstruktora DOM przez oprogramowanie WebKit występuje błąd związany z zarządzaniem zakresem. Odwiedzenie złośliwej witryny może spowodować atak XSS (cross-site scripting). Ten problem rozwiązano przez poprawienie procedury obsługi obiektów konstruktora DOM. Problem zgłosił Gianni „gf3” Chiappetta z Runlevel6.
WebKit
Identyfikator CVE: CVE-2010-1396
Dostępne dla: systemów Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w procedurze obsługi usuwania elementów kontenera przez oprogramowanie WebKit występuje błąd dotyczący użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Problem ten rozwiązano przez poprawienie mechanizmu śledzenia odwołań do pamięci. Problem zgłosił wushi z team509 w ramach programu Zero Day Initiative firmy TippingPoint.
WebKit
Identyfikator CVE: CVE-2010-1397
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w procedurze renderowania zaznaczenia przez oprogramowanie WebKit w przypadku zmiany układu występuje błąd dotyczący użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Problem ten rozwiązano przez poprawienie procedury obsługi wyborów. Problem zgłosił wushi&Z z team509 w ramach programu Zero Day Initiative firmy TippingPoint.
WebKit
Identyfikator CVE: CVE-2010-1398
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w procedurze obsługi wstawiania uporządkowanych list przez oprogramowanie WebKit występuje błąd mogący spowodować uszkodzenie zawartości pamięci. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Problem ten rozwiązano przez poprawienie procedury obsługi wstawiania list. Problem zgłosił wushi z team509 w ramach programu Zero Day Initiative firmy TippingPoint.
WebKit
Identyfikator CVE: CVE-2010-1399
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w procedurze obsługi zmian wyboru elementów wejściowych formularza przez oprogramowanie WebKit występuje problem z dostępem do niezainicjowanej pamięci. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Problem ten rozwiązano przez poprawienie procedury obsługi wyborów. Problem zgłosił wushi z team509 w ramach programu Zero Day Initiative firmy TippingPoint.
WebKit
Identyfikator CVE: CVE-2010-1400
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w procedurze obsługi elementów podpisów przez oprogramowanie WebKit występuje błąd dotyczący użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Problem ten rozwiązano przez poprawienie procedury obsługi elementów podpisów. Problem zgłosił użytkownik wushi z team509 we współpracy z iDefense.
WebKit
Identyfikator CVE: CVE-2010-1401
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w procedurze obsługi pseudoelementu „:first-letter” w kaskadowych arkuszach stylów przez oprogramowanie WebKit występuje błąd dotyczący użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Problem ten został rozwiązany przez poprawienie obsługi pseudo-elementu „:first-letter”. Problem zgłosił wushi z team509 w ramach programu Zero Day Initiative firmy TippingPoint.
WebKit
Identyfikator CVE: CVE-2010-1402
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w procedurze obsługi detektorów zdarzeń w dokumentach SVG przez oprogramowanie WebKit występuje błąd dwukrotnego zwolnienia pamięci. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem rozwiązano przez poprawienie procedury obsługi dokumentów SVG. Problem zgłosił wushi z team509 w ramach programu Zero Day Initiative firmy TippingPoint.
WebKit
Identyfikator CVE: CVE-2010-1403
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w procedurze obsługi elementów „use” w dokumentach SVG przez oprogramowanie WebKit występuje problem z niezainicjowanym dostępem do pamięci. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Problem ten został rozwiązany poprzez udoskonaloną obsługę elementów „use” w dokumentach SVG. Problem zgłosił użytkownik wushi z team509 w ramach programu Zero Day Initiative firmy TippingPoint.
WebKit
Identyfikator CVE: CVE-2010-1404
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w procedurze obsługi dokumentów SVG z wieloma elementami „use” przez oprogramowanie WebKit występuje błąd dotyczący użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Problem ten został rozwiązany poprzez udoskonaloną obsługę elementów „use” w dokumentach SVG. Problem zgłosił wushi z team509 w ramach programu Zero Day Initiative firmy TippingPoint.
WebKit
Identyfikator CVE: CVE-2010-1410
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w procedurze obsługi zagnieżdżonych elementów „use” w dokumentach SVG przez oprogramowanie WebKit występuje błąd mogący spowodować uszkodzenie zawartości pamięci. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem został rozwiązany poprzez udoskonaloną obsługę zagnieżdżonych elementów „use” w dokumentach SVG. Problem zgłosił Aki Helin z OUSPG.
WebKit
Identyfikator CVE: CVE-2010-1749
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w procedurze obsługi uruchomień CSS przez oprogramowanie WebKit występuje błąd dotyczący użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem rozwiązano przez poprawienie procedury obsługi uruchomień CSS. Problem zgłosił wushi z team509 w ramach programu Zero Day Initiative firmy TippingPoint.
WebKit
Identyfikator CVE: CVE-2010-1405
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w procedurze obsługi elementów HTML z niestandardowym pozycjonowaniem pionowym przez oprogramowanie WebKit występuje błąd dotyczący użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Problem ten rozwiązano przez poprawienie mechanizmu śledzenia odwołań do pamięci. Problem zgłosił Ojan Vafai z firmy Google Inc.
WebKit
Identyfikator CVE: CVE-2010-1406
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie witryny HTTPS przekierowującej do witryny HTTP może spowodować ujawnienie informacji.
Opis: podczas przekierowania oprogramowania WebKit z witryny HTTPS do witryny HTTP nagłówek Referer jest przekazywany do witryny HTTP. Może to prowadzić do ujawnienia poufnych informacji zawartych w adresie URL witryny HTTPS. Problem ten jest rozwiązywany poprzez nieprzekazywanie nagłówka Referer, gdy witryna HTTPS przekierowuje do witryny HTTP. Problem zgłosił Colin Percival z Tarsnap.
WebKit
Identyfikator CVE: CVE-2010-1408
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny internetowej może spowodować wysłanie zdalnie określonych danych do dowolnych portów TCP.
Opis: w procedurze obsługi żądań kierowanych do portów TCP innych niż domyślne przez oprogramowanie WebKit występuje błąd związany z obcinaniem liczb całkowitych. Odwiedzenie złośliwie spreparowanej witryny internetowej może spowodować wysłanie zdalnie określonych danych do dowolnych portów TCP. Problem ten jest rozwiązywany poprzez zapewnienie, że numery portów mieszczą się w prawidłowym zakresie.
WebKit
Identyfikator CVE: CVE-2010-1409
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny internetowej może pozwolić na wysłanie zdalnie określonych danych do serwera IRC.
Opis: popularne porty usług IRC nie znajdują się na czarnej liście portów oprogramowania WebKit. Odwiedzenie złośliwie spreparowanej witryny internetowej może umożliwić wysyłanie danych zdalnie określonych do serwera IRC. Może to spowodować, że serwer podejmie niezamierzone działania w imieniu użytkownika. Problem ten został rozwiązany poprzez dodanie portów, których dotyczy problem, do czarnej listy portów WebKit.
WebKit
Identyfikator CVE: CVE-2010-1412
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w procedurze obsługi zdarzeń najechania kursorem przez oprogramowanie WebKit występuje błąd dotyczący użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem rozwiązano przez poprawienie procedury obsługi zdarzeń najechania kursorem. Problem zgłosił Dave Bowker z davebowker.com.
WebKit
Identyfikator CVE: CVE-2010-1413
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: dane uwierzytelniające NTLM użytkownika mogą zostać ujawnione atakującemu metodą „man in the middle”.
Opis: w pewnych okolicznościach oprogramowanie WebKit może wysyłać dane uwierzytelniające NTLM w postaci zwykłego tekstu. Umożliwi to atakującemu „man in the middle” wyświetlenie poświadczeń NTLM. Błąd ten rozwiązano przez poprawienie procedury obsługi poświadczeń NTLM. Problem wykryła firma Apple.
WebKit
Identyfikator CVE: CVE-2010-1414
Dostępne dla: systemów Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w procedurze obsługi metody DOM RemoveChild przez oprogramowanie WebKit występuje błąd dotyczący użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem rozwiązano przez poprawienie procedury usuwania elementu podrzędnego. Problem zgłosił Mark Dowd z Azimuth Security.
WebKit
Identyfikator CVE: CVE-2010-1415
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w obsłudze kontekstów libxml przez oprogramowanie WebKit występuje błąd związany z nadużywaniem interfejsu API. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem rozwiązano przez poprawienie obsługi obiektów kontekstu libxml. Problem zgłosił Aki Helin z OUSPG.
WebKit
Identyfikator CVE: CVE-2010-1416
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny internetowej może spowodować ujawnienie obrazów z innych witryn.
Opis: w oprogramowaniu WebKit występuje błąd przechwytywania obrazów między witrynami. Korzystając z obszaru roboczego z wzorem obrazu SVG, złośliwie spreparowana witryna internetowa może załadować i przechwycić obraz z innej witryny internetowej. Problem ten jest rozwiązywany poprzez ograniczenie czytania obszarów roboczych, które zawierają wzory załadowane z innych stron internetowych. Problem zgłosił Chris Evans z firmy Google Inc.
WebKit
Identyfikator CVE: CVE-2010-1417
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w procedurze renderowania zawartości HTML w stylu CSS z wieloma pseudoselektorami :after przez oprogramowanie WebKit występuje błąd mogący spowodować uszkodzenie zawartości pamięci. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Błąd ten rozwiązano przez poprawienie procedury renderowania zawartości HTML. Problem zgłosił użytkownik wushi z team509.
WebKit
Identyfikator CVE: CVE-2010-1418
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować atak XSS (cross-site scripting).
Opis: w procedurze obsługi atrybutu src elementu frame przez oprogramowanie WebKit występuje błąd sprawdzania danych wejściowych. Atrybut ze schematem javascript i spacjami początkowymi jest uważany za prawidłowy. Odwiedzenie złośliwie spreparowanej witryny może spowodować atak XSS (cross-site scripting). Ta aktualizacja usuwa problem, prawidłowo sprawdzając plik frame.src przed usunięciem powiązania z adresem URL. Problem zgłosił Sergey Glazunov.
WebKit
Identyfikator CVE: CVE-2010-1419
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w obsłudze funkcji przeciągania i upuszczania przez oprogramowanie WebKit występuje problem dotyczący użycia po zwolnieniu, gdy okno będące źródłem operacji przeciągania zostaje zamknięte przed zakończeniem operacji przeciągania. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten błąd naprawiono przez poprawienie procedur zarządzania pamięcią. Problem zgłosili kuzzcc i Skylined z Google Chrome Security Team.
WebKit
Identyfikator CVE: CVE-2010-1421
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny internetowej może zmienić zawartość schowka.
Opis: w implementacji funkcji execCommand języka JavaScript występuje błąd projektowy. Złośliwie spreparowana strona internetowa może modyfikować zawartość schowka bez interakcji użytkownika. Ten problem rozwiązano przez zezwolenie na wykonywanie poleceń schowka tylko wtedy, gdy zostały zainicjowane przez użytkownika. Problem wykryła firma Apple.
WebKit
Identyfikator CVE: CVE-2010-0544
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować atak XSS (cross-site scripting).
Opis: błąd w obsłudze zniekształconych adresów URL przez oprogramowanie Webkit może spowodować atak typu XSS (cross-site scripting) podczas odwiedzania złośliwie spreparowanej witryny. Problem ten rozwiązano przez poprawienie procedury obsługi adresów URL. Problem zgłosił Michał Zalewski z Google Inc.
WebKit
Identyfikator CVE: CVE-2010-1758
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w procedurze obsługi obiektów DOM Range przez oprogramowanie WebKit występuje błąd dotyczący użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem rozwiązano przez poprawienie obsługi obiektów DOM Range. Problem zgłosił Yaar Schnitman z firmy Google Inc.
WebKit
Identyfikator CVE: CVE-2010-1759
Dostępne dla: systemów Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w procedurze obsługi metody Node.normalize przez oprogramowanie WebKit występuje błąd dotyczący użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem rozwiązano przez poprawienie obsługi metody Node.normalize. Problem zgłosił Mark Dowd.
WebKit
Identyfikator CVE: CVE-2010-1761
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w procedurze renderowania drzew podrzędnych dokumentu HTML przez oprogramowanie WebKit występuje błąd dotyczący użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Błąd ten rozwiązano przez poprawienie procedury renderowania poddrzew dokumentów HTML. Problem zgłosił James Robinson z firmy Google Inc.
WebKit
Identyfikator CVE: CVE-2010-1762
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować atak XSS (cross-site scripting).
Opis: w procedurze obsługi kodu HTML zawartego w elementach textarea przez oprogramowanie WebKit występuje błąd projektowy. Odwiedzenie złośliwie spreparowanej witryny może spowodować atak XSS (cross-site scripting). Problem ten rozwiązano przez poprawienie procedury sprawdzania poprawności elementów pola tekstowego. Problem zgłosił Eduardo Vela Nava (sirdarckcat) z firmy Google Inc.
WebKit
Identyfikator CVE: CVE-2010-1764
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie strony internetowej, która przekierowuje przesyłane formularze, może prowadzić do ujawnienia informacji.
Opis: w obsłudze przekierowań HTTP przez oprogramowanie WebKit występuje błąd projektowy. Gdy przesłany formularz zostanie przekierowany do witryny, która również dokonuje przekierowania, informacje zawarte w przesłanym formularzu mogą zostać przesłane do trzeciej witryny. Ten problem rozwiązano przez poprawienie procedury obsługi przekierowań HTTP. Problem zgłosił Marc Worrell z WhatWebWhat.
WebKit
Identyfikator CVE: CVE-2010-1770
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w obsłudze węzłów tekstowych przez oprogramowanie WebKit występuje błąd związany ze sprawdzaniem typu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten błąd naprawiono przez poprawienie mechanizmu rzutowania typów. Problem zgłosił wushi z team509 w ramach programu Zero Day Initiative firmy TippingPoint.
WebKit
Identyfikator CVE: CVE-2010-1771
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w procedurze obsługi czcionek przez oprogramowanie WebKit występuje błąd dotyczący użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem rozwiązano przez poprawienie procedury obsługi czcionek. Problem wykryła firma Apple.
WebKit
Identyfikator CVE: CVE-2010-1774
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w procedurze obsługi tabel HTML przez oprogramowanie WebKit występuje błąd dostępu do pamięci spoza dozwolonego zakresu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Rozwiązanie tego problemu polega na poprawieniu mechanizmu sprawdzania ograniczeń. Problem zgłosił użytkownik wushi z team509.
WebKit
Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych
Zagrożenie: złośliwie spreparowana witryna internetowa może określić, które witryny odwiedził użytkownik.
Opis: w procedurze obsługi pseudoklasy CSS :visited przez oprogramowanie WebKit występuje błąd projektowy. Złośliwie spreparowana witryna internetowa może określić, które witryny odwiedził użytkownik. To uaktualnienie ogranicza możliwości stron internetowych w zakresie stylizowania stron na podstawie tego, czy odwiedzane są łącza.
Uwaga: Safari 5.0 i Safari 4.1 są odpowiedzią na ten sam zestaw zagrożeń bezpieczeństwa. Przeglądarka Safari 5.0 jest dostępna dla systemów Mac OS X 10.5, Mac OS X 10.6 i Microsoft Windows. Przeglądarka Safari 4.1 jest dostępna dla systemu Mac OS X 10.4.
Ważne: informacje o produktach niewyprodukowanych przez Apple są dostarczane wyłącznie w celach informacyjnych i nie stanowią rekomendacji ani poparcia Apple. Dodatkowe informacje można uzyskać, kontaktując się z dostawcą.