Zawartość związana z zabezpieczeniami w przeglądarkach Safari 5.0 i Safari 4.1

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w przeglądarkach Safari 5.0 i Safari 4.1.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

Safari 5.0

  • ColorSync

    Identyfikator CVE: CVE-2009-1726

    Dostępne dla: systemów Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: wyświetlanie złośliwie spreparowanego obrazu z osadzonym profilem ColorSync może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w procedurze obsługi obrazów z osadzonym profilem ColorSync występuje przepełnienie buforu sterty. Otwarcie złośliwie spreparowanego obrazu z osadzonym profilem ColorSync może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności profili ColorSync. Problem zgłosili Chris Evans z Google Security Team i Andrzej Dyjak.

  • ImageIO

    Identyfikator CVE: CVE-2010-1411

    Dostępne: systemów Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: otwarcie złośliwie spreparowanego pliku TIFF może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: przepełnienie całkowitoliczbowe w obsłudze plików TIFF może spowodować przepełnienie bufora sterty. Otwarcie złośliwie spreparowanego pliku TIFF może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Błędy naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń. Problemy zgłosił Kevin Finisterre z digitalmunition.com.

  • Safari

    Identyfikator CVE: CVE-2010-1384

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: złośliwie spreparowany adres URL może zostać zaciemniony, co zwiększa skuteczność ataków phishingowych.

    Opis: przeglądarka Safari obsługuje dołączanie informacji o użytkowniku do adresów URL, co umożliwia adresowi URL określenie nazwy użytkownika i hasła w celu uwierzytelnienia użytkownika na określonym serwerze. Adresy URL są często używane do zmylenia użytkowników, co może potencjalnie pomóc w atakach phishingowych. Przeglądarka Safari została zaktualizowana w celu wyświetlenia ostrzeżenia przed przejściem do adresu URL HTTP lub HTTPS zawierającego informacje o użytkowniku. Problem zgłosił Abhishek Arya z firmy Google Inc.

  • Safari

    Identyfikator CVE: CVE-2010-1385

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w procedurze obsługi plików PDF w przeglądarce Safari występuje błąd dotyczący użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem rozwiązano przez poprawienie procedury obsługi plików PDF. Problem zgłosił Borja Marcos z Sarenet.

  • Safari

    Identyfikator CVE: CVE-2010-1750

    Dostępne dla: systemów Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w procedurze zarządzania oknami przez przeglądarkę Safari występuje błąd dotyczący użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem rozwiązano przez poprawienie procedury zarządzania oknami. Ten problem nie występuje na komputerach z systemem Mac OS X.

  • WebKit

    Identyfikator CVE: CVE-2010-1388

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych

    Zagrożenie: przeciąganie lub wklejanie łączy lub obrazów może prowadzić do ujawnienia informacji.

    Opis: w procedurze obsługi adresów URL w schowku przez oprogramowanie WebKit występuje błąd implementacyjny. Odwiedzenie złośliwie spreparowanej witryny internetowej i przeciągnięcie lub wklejenie łączy lub obrazów może spowodować wysłanie plików z systemu użytkownika na zdalny serwer. Ten problem rozwiązano przez dodatkowe sprawdzanie poprawności adresów URL w schowku. Problem nie dotyczy komputerów z systemem Windows. Problem zgłosił Eric Seidel z Google, Inc.

  • WebKit

    Identyfikator CVE: CVE-2010-1389

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: przeciągnięcie lub wklejenie zaznaczenia może spowodować atak XSS (cross-site scripting).

    Opis: przeciągnięcie lub wklejenie zaznaczenia z jednej witryny do drugiej może pozwolić na wykonanie skryptów zawartych w zaznaczeniu w kontekście nowej witryny. Ten problem rozwiązano przez wprowadzenie dodatkowych procedur sprawdzania poprawności zawartości przed wykonaniem operacji przeciągania lub wklejania i upuszczania. Problem zgłosił Paul Stone z Context Information Security.

  • WebKit

    Identyfikator CVE: CVE-2010-1390

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie witryny internetowej korzystającej z kodowania UTF-7 może spowodować atak XSS (cross-site scripting).

    Opis: w procedurze obsługi tekstu zakodowanego w formacie UTF-7 przez oprogramowanie WebKit występuje błąd związany z kanonizacją. Ciąg HTML w znakach cudzysłowu może pozostać niezakończony, prowadząc do ataku XSS (cross-site scripting) lub innych problemów. Ten problem został rozwiązany poprzez usunięcie obsługi kodowania UTF-7 w WebKit. Problem zgłosił Masahiro Yamada.

  • WebKit

    Identyfikator CVE: CVE-2010-1391

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować utworzenie plików w dowolnych lokalizacjach do zapisu przez użytkownika.

    Opis: w obsłudze przez oprogramowanie WebKit pamięci lokalnej i baz danych Web SQL występuje błąd „path traversal”. Jeśli dostęp do niego uzyskano ze schematu zdefiniowanego przez aplikację zawierającego '%2f' (/) lub '%5c' (\) i '..' W sekcji hosta adresu URL złośliwie spreparowana witryna internetowa może spowodować utworzenie plików bazy danych poza wyznaczonym katalogiem. Problem ten jest rozwiązywany poprzez kodowanie znaków, które mogą mieć specjalne znaczenie w nazwach ścieżek. Ten problem nie dotyczy witryn obsługiwanych z poziomu schematów http: lub https:. Problem wykryła firma Apple.

  • WebKit

    Identyfikator CVE: CVE-2010-1392

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w procedurze renderowania przycisków HTML przez oprogramowanie WebKit występuje błąd dotyczący użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten błąd naprawiono przez poprawienie procedur zarządzania pamięcią. Problem zgłosił Matthieu Bonetti z VUPEN Vulnerability Research Team oraz wushi of team509 w ramach programu Zero Day Initiative firmy TippingPoint.

  • WebKit

    Identyfikator CVE: CVE-2010-1393

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować ujawnienie poufnych informacji.

    Opis: w procedurze obsługi kaskadowych arkuszy stylów przez oprogramowanie WebKit istnieje błąd umożliwiający ujawnianie informacji. Jeśli atrybut HREF arkusza stylów jest ustawiony na adres URL, który powoduje przekierowanie, skrypty na stronie mogą mieć dostęp do przekierowanego adresu URL. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do ujawnienia wrażliwego adresu URL w innej witrynie. Problem ten został rozwiązywany przez zwrócenie oryginalnego adresu URL do skryptów, a nie przekierowanego adresu URL.

  • WebKit

    Identyfikator CVE: CVE-2010-1119

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 lub nowszych, Mac OS X Server 10.6.1 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w procedurze obsługi manipulacji atrybutami przez oprogramowanie WebKit występuje błąd dotyczący użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Problem ten rozwiązano przez poprawienie mechanizmu śledzenia odwołań do pamięci. Problem zgłosili: Vincenzo Iozzo i Ralf Philipp Weinmann z programu Zero Day Initiative firmy TippingPoint oraz Michał Zalewski z firmy Google, Inc.

  • WebKit

    Identyfikator CVE: CVE-2010-1394

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować atak XSS (cross-site scripting).

    Opis: w procedurze obsługi fragmentów dokumentów HTML przez oprogramowanie WebKit występuje błąd projektowy. Zawartość fragmentów dokumentu HTML jest przetwarzana przed dodaniem fragmentu do dokumentu. Odwiedzenie złośliwie spreparowanej witryny internetowej może prowadzić do ataku XSS (cross-site scripting), jeśli legalna witryna internetowa próbuje manipulować fragmentem dokumentu, zawierającym niezaufane dane. Problem został rozwiązywany poprzez zapewnienie, że początkowa analiza fragmentów nie ma niepożądanych skutków ubocznych dla dokumentu, który utworzył fragment. Problem zgłosił Eduardo Vela Nava (sirdarckcat) z firmy Google Inc.

  • WebKit

    Identyfikator CVE: CVE-2010-1422

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: interakcja ze złośliwie spreparowaną witryną może spowodować nieoczekiwane działania w innych witrynach.

    Opis: w procedurze obsługi fokusu klawiatury przez oprogramowanie WebKit występuje błąd implementacyjny. Jeśli fokus klawiatury zmieni się podczas przetwarzania naciśnięć klawiszy, oprogramowanie WebKit może dostarczyć zdarzenie do nowo sfokusowanej ramki, zamiast do ramki, która miała fokus w momencie naciśnięcia klawisza. Złośliwie spreparowana witryna internetowa może być w stanie zmanipulować użytkownika, aby podjął nieoczekiwane działanie, takie jak zainicjowanie zakupu. Ten problem rozwiązano przez uniemożliwienie dostarczania zdarzeń naciśnięć klawiszy, jeśli fokus klawiatury zmieni się podczas przetwarzania. Problem zgłosił Michał Zalewski z Google Inc.

  • WebKit

    Identyfikator CVE: CVE-2010-1395

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie złośliwej witryny może spowodować atak XSS (cross-site scripting).

    Opis: w procedurze obsługi obiektów konstruktora DOM przez oprogramowanie WebKit występuje błąd związany z zarządzaniem zakresem. Odwiedzenie złośliwej witryny może spowodować atak XSS (cross-site scripting). Ten problem rozwiązano przez poprawienie procedury obsługi obiektów konstruktora DOM. Problem zgłosił Gianni „gf3” Chiappetta z Runlevel6.

  • WebKit

    Identyfikator CVE: CVE-2010-1396

    Dostępne dla: systemów Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w procedurze obsługi usuwania elementów kontenera przez oprogramowanie WebKit występuje błąd dotyczący użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Problem ten rozwiązano przez poprawienie mechanizmu śledzenia odwołań do pamięci. Problem zgłosił wushi z team509 w ramach programu Zero Day Initiative firmy TippingPoint.

  • WebKit

    Identyfikator CVE: CVE-2010-1397

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w procedurze renderowania zaznaczenia przez oprogramowanie WebKit w przypadku zmiany układu występuje błąd dotyczący użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Problem ten rozwiązano przez poprawienie procedury obsługi wyborów. Problem zgłosił wushi&Z z team509 w ramach programu Zero Day Initiative firmy TippingPoint.

  • WebKit

    Identyfikator CVE: CVE-2010-1398

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w procedurze obsługi wstawiania uporządkowanych list przez oprogramowanie WebKit występuje błąd mogący spowodować uszkodzenie zawartości pamięci. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Problem ten rozwiązano przez poprawienie procedury obsługi wstawiania list. Problem zgłosił wushi z team509 w ramach programu Zero Day Initiative firmy TippingPoint.

  • WebKit

    Identyfikator CVE: CVE-2010-1399

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w procedurze obsługi zmian wyboru elementów wejściowych formularza przez oprogramowanie WebKit występuje problem z dostępem do niezainicjowanej pamięci. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Problem ten rozwiązano przez poprawienie procedury obsługi wyborów. Problem zgłosił wushi z team509 w ramach programu Zero Day Initiative firmy TippingPoint.

  • WebKit

    Identyfikator CVE: CVE-2010-1400

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w procedurze obsługi elementów podpisów przez oprogramowanie WebKit występuje błąd dotyczący użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Problem ten rozwiązano przez poprawienie procedury obsługi elementów podpisów. Problem zgłosił użytkownik wushi z team509 we współpracy z iDefense.

  • WebKit

    Identyfikator CVE: CVE-2010-1401

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w procedurze obsługi pseudoelementu „:first-letter” w kaskadowych arkuszach stylów przez oprogramowanie WebKit występuje błąd dotyczący użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Problem ten został rozwiązany przez poprawienie obsługi pseudo-elementu „:first-letter”. Problem zgłosił wushi z team509 w ramach programu Zero Day Initiative firmy TippingPoint.

  • WebKit

    Identyfikator CVE: CVE-2010-1402

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w procedurze obsługi detektorów zdarzeń w dokumentach SVG przez oprogramowanie WebKit występuje błąd dwukrotnego zwolnienia pamięci. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem rozwiązano przez poprawienie procedury obsługi dokumentów SVG. Problem zgłosił wushi z team509 w ramach programu Zero Day Initiative firmy TippingPoint.

  • WebKit

    Identyfikator CVE: CVE-2010-1403

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w procedurze obsługi elementów „use” w dokumentach SVG przez oprogramowanie WebKit występuje problem z niezainicjowanym dostępem do pamięci. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Problem ten został rozwiązany poprzez udoskonaloną obsługę elementów „use” w dokumentach SVG. Problem zgłosił użytkownik wushi z team509 w ramach programu Zero Day Initiative firmy TippingPoint.

  • WebKit

    Identyfikator CVE: CVE-2010-1404

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w procedurze obsługi dokumentów SVG z wieloma elementami „use” przez oprogramowanie WebKit występuje błąd dotyczący użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Problem ten został rozwiązany poprzez udoskonaloną obsługę elementów „use” w dokumentach SVG. Problem zgłosił wushi z team509 w ramach programu Zero Day Initiative firmy TippingPoint.

  • WebKit

    Identyfikator CVE: CVE-2010-1410

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w procedurze obsługi zagnieżdżonych elementów „use” w dokumentach SVG przez oprogramowanie WebKit występuje błąd mogący spowodować uszkodzenie zawartości pamięci. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem został rozwiązany poprzez udoskonaloną obsługę zagnieżdżonych elementów „use” w dokumentach SVG. Problem zgłosił Aki Helin z OUSPG.

  • WebKit

    Identyfikator CVE: CVE-2010-1749

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w procedurze obsługi uruchomień CSS przez oprogramowanie WebKit występuje błąd dotyczący użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem rozwiązano przez poprawienie procedury obsługi uruchomień CSS. Problem zgłosił wushi z team509 w ramach programu Zero Day Initiative firmy TippingPoint.

  • WebKit

    Identyfikator CVE: CVE-2010-1405

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w procedurze obsługi elementów HTML z niestandardowym pozycjonowaniem pionowym przez oprogramowanie WebKit występuje błąd dotyczący użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Problem ten rozwiązano przez poprawienie mechanizmu śledzenia odwołań do pamięci. Problem zgłosił Ojan Vafai z firmy Google Inc.

  • WebKit

    Identyfikator CVE: CVE-2010-1406

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie witryny HTTPS przekierowującej do witryny HTTP może spowodować ujawnienie informacji.

    Opis: podczas przekierowania oprogramowania WebKit z witryny HTTPS do witryny HTTP nagłówek Referer jest przekazywany do witryny HTTP. Może to prowadzić do ujawnienia poufnych informacji zawartych w adresie URL witryny HTTPS. Problem ten jest rozwiązywany poprzez nieprzekazywanie nagłówka Referer, gdy witryna HTTPS przekierowuje do witryny HTTP. Problem zgłosił Colin Percival z Tarsnap.

  • WebKit

    Identyfikator CVE: CVE-2010-1408

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny internetowej może spowodować wysłanie zdalnie określonych danych do dowolnych portów TCP.

    Opis: w procedurze obsługi żądań kierowanych do portów TCP innych niż domyślne przez oprogramowanie WebKit występuje błąd związany z obcinaniem liczb całkowitych. Odwiedzenie złośliwie spreparowanej witryny internetowej może spowodować wysłanie zdalnie określonych danych do dowolnych portów TCP. Problem ten jest rozwiązywany poprzez zapewnienie, że numery portów mieszczą się w prawidłowym zakresie.

  • WebKit

    Identyfikator CVE: CVE-2010-1409

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny internetowej może pozwolić na wysłanie zdalnie określonych danych do serwera IRC.

    Opis: popularne porty usług IRC nie znajdują się na czarnej liście portów oprogramowania WebKit. Odwiedzenie złośliwie spreparowanej witryny internetowej może umożliwić wysyłanie danych zdalnie określonych do serwera IRC. Może to spowodować, że serwer podejmie niezamierzone działania w imieniu użytkownika. Problem ten został rozwiązany poprzez dodanie portów, których dotyczy problem, do czarnej listy portów WebKit.

  • WebKit

    Identyfikator CVE: CVE-2010-1412

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w procedurze obsługi zdarzeń najechania kursorem przez oprogramowanie WebKit występuje błąd dotyczący użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem rozwiązano przez poprawienie procedury obsługi zdarzeń najechania kursorem. Problem zgłosił Dave Bowker z davebowker.com.

  • WebKit

    Identyfikator CVE: CVE-2010-1413

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: dane uwierzytelniające NTLM użytkownika mogą zostać ujawnione atakującemu metodą „man in the middle”.

    Opis: w pewnych okolicznościach oprogramowanie WebKit może wysyłać dane uwierzytelniające NTLM w postaci zwykłego tekstu. Umożliwi to atakującemu „man in the middle” wyświetlenie poświadczeń NTLM. Błąd ten rozwiązano przez poprawienie procedury obsługi poświadczeń NTLM. Problem wykryła firma Apple.

  • WebKit

    Identyfikator CVE: CVE-2010-1414

    Dostępne dla: systemów Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w procedurze obsługi metody DOM RemoveChild przez oprogramowanie WebKit występuje błąd dotyczący użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem rozwiązano przez poprawienie procedury usuwania elementu podrzędnego. Problem zgłosił Mark Dowd z Azimuth Security.

  • WebKit

    Identyfikator CVE: CVE-2010-1415

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w obsłudze kontekstów libxml przez oprogramowanie WebKit występuje błąd związany z nadużywaniem interfejsu API. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem rozwiązano przez poprawienie obsługi obiektów kontekstu libxml. Problem zgłosił Aki Helin z OUSPG.

  • WebKit

    Identyfikator CVE: CVE-2010-1416

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny internetowej może spowodować ujawnienie obrazów z innych witryn.

    Opis: w oprogramowaniu WebKit występuje błąd przechwytywania obrazów między witrynami. Korzystając z obszaru roboczego z wzorem obrazu SVG, złośliwie spreparowana witryna internetowa może załadować i przechwycić obraz z innej witryny internetowej. Problem ten jest rozwiązywany poprzez ograniczenie czytania obszarów roboczych, które zawierają wzory załadowane z innych stron internetowych. Problem zgłosił Chris Evans z firmy Google Inc.

  • WebKit

    Identyfikator CVE: CVE-2010-1417

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w procedurze renderowania zawartości HTML w stylu CSS z wieloma pseudoselektorami :after przez oprogramowanie WebKit występuje błąd mogący spowodować uszkodzenie zawartości pamięci. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Błąd ten rozwiązano przez poprawienie procedury renderowania zawartości HTML. Problem zgłosił użytkownik wushi z team509.

  • WebKit

    Identyfikator CVE: CVE-2010-1418

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować atak XSS (cross-site scripting).

    Opis: w procedurze obsługi atrybutu src elementu frame przez oprogramowanie WebKit występuje błąd sprawdzania danych wejściowych. Atrybut ze schematem javascript i spacjami początkowymi jest uważany za prawidłowy. Odwiedzenie złośliwie spreparowanej witryny może spowodować atak XSS (cross-site scripting). Ta aktualizacja usuwa problem, prawidłowo sprawdzając plik frame.src przed usunięciem powiązania z adresem URL. Problem zgłosił Sergey Glazunov.

  • WebKit

    Identyfikator CVE: CVE-2010-1419

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w obsłudze funkcji przeciągania i upuszczania przez oprogramowanie WebKit występuje problem dotyczący użycia po zwolnieniu, gdy okno będące źródłem operacji przeciągania zostaje zamknięte przed zakończeniem operacji przeciągania. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten błąd naprawiono przez poprawienie procedur zarządzania pamięcią. Problem zgłosili kuzzcc i Skylined z Google Chrome Security Team.

  • WebKit

    Identyfikator CVE: CVE-2010-1421

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny internetowej może zmienić zawartość schowka.

    Opis: w implementacji funkcji execCommand języka JavaScript występuje błąd projektowy. Złośliwie spreparowana strona internetowa może modyfikować zawartość schowka bez interakcji użytkownika. Ten problem rozwiązano przez zezwolenie na wykonywanie poleceń schowka tylko wtedy, gdy zostały zainicjowane przez użytkownika. Problem wykryła firma Apple.

  • WebKit

    Identyfikator CVE: CVE-2010-0544

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować atak XSS (cross-site scripting).

    Opis: błąd w obsłudze zniekształconych adresów URL przez oprogramowanie Webkit może spowodować atak typu XSS (cross-site scripting) podczas odwiedzania złośliwie spreparowanej witryny. Problem ten rozwiązano przez poprawienie procedury obsługi adresów URL. Problem zgłosił Michał Zalewski z Google Inc.

  • WebKit

    Identyfikator CVE: CVE-2010-1758

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w procedurze obsługi obiektów DOM Range przez oprogramowanie WebKit występuje błąd dotyczący użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem rozwiązano przez poprawienie obsługi obiektów DOM Range. Problem zgłosił Yaar Schnitman z firmy Google Inc.

  • WebKit

    Identyfikator CVE: CVE-2010-1759

    Dostępne dla: systemów Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w procedurze obsługi metody Node.normalize przez oprogramowanie WebKit występuje błąd dotyczący użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem rozwiązano przez poprawienie obsługi metody Node.normalize. Problem zgłosił Mark Dowd.

  • WebKit

    Identyfikator CVE: CVE-2010-1761

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w procedurze renderowania drzew podrzędnych dokumentu HTML przez oprogramowanie WebKit występuje błąd dotyczący użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Błąd ten rozwiązano przez poprawienie procedury renderowania poddrzew dokumentów HTML. Problem zgłosił James Robinson z firmy Google Inc.

  • WebKit

    Identyfikator CVE: CVE-2010-1762

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować atak XSS (cross-site scripting).

    Opis: w procedurze obsługi kodu HTML zawartego w elementach textarea przez oprogramowanie WebKit występuje błąd projektowy. Odwiedzenie złośliwie spreparowanej witryny może spowodować atak XSS (cross-site scripting). Problem ten rozwiązano przez poprawienie procedury sprawdzania poprawności elementów pola tekstowego. Problem zgłosił Eduardo Vela Nava (sirdarckcat) z firmy Google Inc.

  • WebKit

    Identyfikator CVE: CVE-2010-1764

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie strony internetowej, która przekierowuje przesyłane formularze, może prowadzić do ujawnienia informacji.

    Opis: w obsłudze przekierowań HTTP przez oprogramowanie WebKit występuje błąd projektowy. Gdy przesłany formularz zostanie przekierowany do witryny, która również dokonuje przekierowania, informacje zawarte w przesłanym formularzu mogą zostać przesłane do trzeciej witryny. Ten problem rozwiązano przez poprawienie procedury obsługi przekierowań HTTP. Problem zgłosił Marc Worrell z WhatWebWhat.

  • WebKit

    Identyfikator CVE: CVE-2010-1770

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w obsłudze węzłów tekstowych przez oprogramowanie WebKit występuje błąd związany ze sprawdzaniem typu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten błąd naprawiono przez poprawienie mechanizmu rzutowania typów. Problem zgłosił wushi z team509 w ramach programu Zero Day Initiative firmy TippingPoint.

  • WebKit

    Identyfikator CVE: CVE-2010-1771

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w procedurze obsługi czcionek przez oprogramowanie WebKit występuje błąd dotyczący użycia po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Ten problem rozwiązano przez poprawienie procedury obsługi czcionek. Problem wykryła firma Apple.

  • WebKit

    Identyfikator CVE: CVE-2010-1774

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w procedurze obsługi tabel HTML przez oprogramowanie WebKit występuje błąd dostępu do pamięci spoza dozwolonego zakresu. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu. Rozwiązanie tego problemu polega na poprawieniu mechanizmu sprawdzania ograniczeń. Problem zgłosił użytkownik wushi z team509.

  • WebKit

    Dostępne dla: systemu Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszych, Mac OS X Server 10.6.2 lub nowszych, Windows 7, Vista, XP SP2 lub nowszych

    Zagrożenie: złośliwie spreparowana witryna internetowa może określić, które witryny odwiedził użytkownik.

    Opis: w procedurze obsługi pseudoklasy CSS :visited przez oprogramowanie WebKit występuje błąd projektowy. Złośliwie spreparowana witryna internetowa może określić, które witryny odwiedził użytkownik. To uaktualnienie ogranicza możliwości stron internetowych w zakresie stylizowania stron na podstawie tego, czy odwiedzane są łącza.

Uwaga: Safari 5.0 i Safari 4.1 są odpowiedzią na ten sam zestaw zagrożeń bezpieczeństwa. Przeglądarka Safari 5.0 jest dostępna dla systemów Mac OS X 10.5, Mac OS X 10.6 i Microsoft Windows. Przeglądarka Safari 4.1 jest dostępna dla systemu Mac OS X 10.4.

Ważne: informacje o produktach niewyprodukowanych przez Apple są dostarczane wyłącznie w celach informacyjnych i nie stanowią rekomendacji ani poparcia Apple. Dodatkowe informacje można uzyskać, kontaktując się z dostawcą.

Data publikacji: