Informacje o funkcjach programów Safari 5.0.1 i Safari 4.1.1 dotyczących zabezpieczeń

Ten dokument zawiera informacje o funkcjach programów Safari 5.0.1 i Safari 4.1.1 dotyczących zabezpieczeń.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

Safari 5.0.1 i Safari 4.1.1

  • Safari

    Identyfikator CVE: CVE-2010-1778

    Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszy, Mac OS X Server 10.6.2 lub nowszy, Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

    Zagrożenie: uzyskanie dostępu do złośliwie spreparowanego źródła RSS może spowodować wysłanie plików z komputera użytkownika na serwer zdalny.

    Opis: w procedurze obsługi źródeł RSS w przeglądarce Safari istnieje błąd umożliwiający atak XSS (cross-site scripting). Uzyskanie dostępu do złośliwie spreparowanego źródła RSS może spowodować wysłanie plików z komputera użytkownika na serwer zdalny. Rozwiązanie problemu polega na poprawieniu procedur obsługi źródeł RSS. Problem zgłosił Billy Rios z zespołu firmy Google do spraw bezpieczeństwa.

  • Safari

    Identyfikator CVE: CVE-2010-1796

    Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszy, Mac OS X Server 10.6.2 lub nowszy, Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

    Zagrożenie: funkcja automatycznego wypełniania w przeglądarce Safari może ujawniać informacje witrynom bez udziału użytkownika.

    Opis: funkcja automatycznego wypełniania dostępna w przeglądarce Safari może automatycznie wypełniać formularze przy użyciu określonych informacji zawartych w Książce adresowej w systemie Mac OS X, programie Outlook lub Książce adresowej systemu Windows. Program zaprojektowano tak, że funkcja automatycznego wypełniania powinna działać w formularzu internetowym tylko w odpowiedzi na czynności użytkownika. Błąd implementacji umożliwia złośliwie spreparowanej witrynie wyzwolenie automatycznego wypełniania bez udziału użytkownika. Może to spowodować ujawnienie informacji zawartych w wizytówce użytkownika w Książce adresowej. Ten problem może wystąpić, gdy są spełnione następujące dwa warunki. W Preferencjach przeglądarki Safari w sekcji Formularze musi być zaznaczone pole wyboru „wypełnić automatycznie formularze informacjami z Książki adresowej”. Książka adresowa użytkownika musi zawierać wizytówkę oznaczoną jako „Moja wizytówka”. Funkcja automatycznego wypełniania uzyskuje dostęp tylko do informacji z tej wizytówki. Rozwiązanie problemu polega na zablokowaniu używania informacji przez funkcję automatycznego wypełniania w przypadku, gdy użytkownik nie podjął żadnych działań. Ten problem nie dotyczy urządzeń z systemem iOS. Problem zgłosił Jeremiah Grossman z firmy WhiteHat Security.

  • WebKit

    Identyfikator CVE: CVE-2010-1780

    Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszy, Mac OS X Server 10.6.2 lub nowszy, Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania programu lub wykonania dowolnego kodu.

    Opis: w procedurach obsługi fokusu elementów przez oprogramowanie WebKit istnieje błąd dotyczący używania po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu. Rozwiązanie problemu polega na poprawieniu procedur obsługi fokusu elementów. Problem zgłosił Tony Chang z firmy Google Inc.

  • WebKit

    Identyfikator CVE: CVE-2010-1782

    Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszy, Mac OS X Server 10.6.2 lub nowszy, Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania programu lub wykonania dowolnego kodu.

    Opis: mechanizm renderowania elementów umieszczonych w tekście przez oprogramowanie WebKit zawiera błąd powodujący uszkodzenie zawartości pamięci. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania programu lub wykonania dowolnego kodu. Rozwiązanie problemu polega na poprawieniu mechanizmu sprawdzania ograniczeń. Problem zgłosił użytkownik wushi z grupy team509.

  • WebKit

    Identyfikator CVE: CVE-2010-1783

    Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszy, Mac OS X Server 10.6.2 lub nowszy, Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania programu lub wykonania dowolnego kodu.

    Opis: procedury obsługi dynamicznych modyfikacji węzłów tekstu w oprogramowaniu WebKit zawierają błąd powodujący uszkodzenie zawartości pamięci. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania programu lub wykonania dowolnego kodu. Rozwiązanie problemu polega na poprawieniu procedur zarządzania pamięcią.

  • WebKit

    Identyfikator CVE: CVE-2010-1784

    Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszy, Mac OS X Server 10.6.2 lub nowszy, Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania programu lub wykonania dowolnego kodu.

    Opis: procedury obsługi liczników CSS w oprogramowaniu WebKit zawierają błąd powodujący uszkodzenie zawartości pamięci. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania programu lub wykonania dowolnego kodu. Rozwiązanie problemu polega na poprawieniu procedur zarządzania pamięcią. Problem zgłosił użytkownik wushi z grupy team509 w ramach programu Zero Day Initiative firmy TippingPoint.

  • WebKit

    Identyfikator CVE: CVE-2010-1785

    Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszy, Mac OS X Server 10.6.2 lub nowszy, Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania programu lub wykonania dowolnego kodu.

    Opis: procedury obsługi pseudoelementów :first-letter i :first-line w elementach tekstowych SVG przez oprogramowanie WebKit zawierają błąd dotyczący niezainicjowanego dostępu do pamięci. Odwiedzenie złośliwie spreparowanej witryny może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu. Rozwiązanie problemu polega na wyłączeniu renderowania pseudoelementów :first-letter i :first-line w elementach tekstowych SVG. Problem zgłosił użytkownik wushi z grupy team509 w ramach programu Zero Day Initiative firmy TippingPoint.

  • WebKit

    Identyfikator CVE: CVE-2010-1786

    Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszy, Mac OS X Server 10.6.2 lub nowszy, Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania programu lub wykonania dowolnego kodu.

    Opis: procedury obsługi obiektów foreignObject w dokumentach SVG przez oprogramowanie WebKit zawierają błąd dotyczący używania po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu. Rozwiązanie problemu polega na wprowadzeniu dodatkowych procedur sprawdzania poprawności dokumentów SVG. Problem zgłosił użytkownik wushi z grupy team509 w ramach programu Zero Day Initiative firmy TippingPoint.

  • WebKit

    Identyfikator CVE: CVE-2010-1787

    Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszy, Mac OS X Server 10.6.2 lub nowszy, Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania programu lub wykonania dowolnego kodu.

    Opis: procedury obsługi obiektów przenoszonych nad tekstem w dokumentach SVG przez oprogramowanie WebKit zawierają błąd powodujący uszkodzenie zawartości pamięci. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania programu lub wykonania dowolnego kodu. Rozwiązanie problemu polega na poprawieniu procedur zarządzania pamięcią. Problem zgłosił użytkownik wushi z grupy team509 w ramach programu Zero Day Initiative firmy TippingPoint.

  • WebKit

    Identyfikator CVE: CVE-2010-1788

    Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszy, Mac OS X Server 10.6.2 lub nowszy, Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania programu lub wykonania dowolnego kodu.

    Opis: zawarte w oprogramowaniu WebKit procedury obsługi elementów typu „use” w dokumentach SVG zawierają błąd powodujący uszkodzenie zawartości pamięci. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania programu lub wykonania dowolnego kodu. Rozwiązanie problemu polega na poprawieniu procedur obsługi elementów typu „use” w dokumentach SVG. Problem zgłosił Justin Schuh z firmy Google Inc.

  • WebKit

    Identyfikator CVE: CVE-2010-1789

    Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszy, Mac OS X Server 10.6.2 lub nowszy, Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania programu lub wykonania dowolnego kodu.

    Opis: w procedurach obsługi obiektów ciągów języka JavaScript przez oprogramowanie WebKit występuje przepełnienie buforu sterty. Odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania programu lub wykonania dowolnego kodu. Rozwiązanie problemu polega na poprawieniu mechanizmu sprawdzania ograniczeń. Problem został wykryty przez firmę Apple.

  • WebKit

    Identyfikator CVE: CVE-2010-1790

    Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszy, Mac OS X Server 10.6.2 lub nowszy, Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania programu lub wykonania dowolnego kodu.

    Opis: zawarte w oprogramowaniu WebKit procedury obsługi obiektów powiązań języka JavaScript kompilowanych dokładnie na czas zawierają błąd ponownego wejścia. Odwiedzenie złośliwie spreparowanej witryny może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu. Rozwiązanie problemu polega na poprawieniu mechanizmu synchronizacji.

  • WebKit

    Identyfikator CVE: CVE-2010-1791

    Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszy, Mac OS X Server 10.6.2 lub nowszy, Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania programu lub wykonania dowolnego kodu.

    Opis: procedury obsługi tablic języka JavaScript przez oprogramowanie WebKit zawierają błąd interpretacji znaku liczby. Odwiedzenie złośliwie spreparowanej witryny może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu. Rozwiązanie problemu polega na poprawieniu obsługi indeksów tablic języka JavaScript. Problem zgłosiła Natalie Silvanovich.

  • WebKit

    Identyfikator CVE: CVE-2010-1792

    Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszy, Mac OS X Server 10.6.2 lub nowszy, Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania programu lub wykonania dowolnego kodu.

    Opis: procedury obsługi wyrażeń regularnych przez oprogramowanie WebKit zawierają błąd powodujący uszkodzenie zawartości pamięci. Odwiedzenie złośliwie spreparowanej witryny może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu. Rozwiązanie problemu polega na poprawieniu procedur obsługi wyrażeń regularnych. Problem zgłosił Peter Varga z Uniwersytetu w Segedynie.

  • WebKit

    Identyfikator CVE: CVE-2010-1793

    Dostępne dla: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 lub nowszy, Mac OS X Server 10.6.2 lub nowszy, Windows 7, Windows Vista, Windows XP z dodatkiem SP2 lub nowszym

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania programu lub wykonania dowolnego kodu.

    Opis: zawarte w oprogramowaniu WebKit procedury obsługi elementów typów „font-face” i „use” w dokumentach SVG zawierają błąd dotyczący używania po zwolnieniu. Odwiedzenie złośliwie spreparowanej witryny może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu. Rozwiązanie problemu polega na poprawieniu procedur obsługi elementów typów „font-face” i „use” w dokumentach SVG. Problem zgłosił Aki Helin z grupy OUSPG.

Data publikacji: