Despre conținutul de securitate din Safari 3.1.1

Acest document descrie conținutul de securitate din Safari 3.1.1, care poate fi descărcat și instalat prin preferințele Actualizare software sau din Descărcări Apple.

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate înainte de a face o investigație completă și de a pune la dispoziție corecțiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.

Pentru informații despre cheia PGP pentru securitatea produselor Apple, consultă „Utilizarea cheii PGP pentru securitatea produselor Apple”.

Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilități pentru mai multe informații.

Pentru a afla mai multe despre alte actualizări de securitate, consultă „Actualizări de securitate Apple”.

Safari 3.1.1

Safari

CVE-ID: CVE-2007-2398

Disponibilitate pentru: Windows XP sau Vista

Impact: un site web creat cu rea intenție poate controla conținutul barei de adrese.

Descriere: o problemă de sincronizare în Safari 3.1 permite unei pagini web să modifice conținutul barei de adrese fără a încărca conținutul paginii corespunzătoare. Acest lucru ar putea fi folosit pentru a altera conținutul unui site legitim, permițând colectarea acreditărilor de utilizator sau a altor informații. Această problemă a fost rezolvată în Safari Beta 3.0.2, dar a fost reintrodusă în Safari 3.1. Această actualizare rezolvă problema restaurând conținutul barei de adrese în cazul în care o solicitare pentru o pagină web nouă este încheiată. Această problemă nu afectează sistemele Mac OS X.

Safari

CVE-ID: CVE-2008-1024

Disponibilitate pentru: Windows XP sau Vista

Impact: accesarea unui site rău intenționat poate duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu.

Descriere: există o problemă de alterare a memoriei la descărcarea fișierului Safari. Prin atragerea unui utilizator să descarce un fișier cu un nume creat cu rea intenție, un atacator poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar. Această actualizare rezolvă problema prin îmbunătățirea tratării descărcărilor de fișiere. Această problemă nu afectează sistemele Mac OS X.

WebKit

CVE-ID: CVE-2008-1025

Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2, Windows XP sau Vista

Impact: accesarea unui site web rău intenționat poate duce la scriptare pe site-uri multiple.

Descriere: există o problemă la tratarea de către WebKit a URL-urilor care conțin un caracter de două puncte în numele gazdei. Deschiderea unui URL creat cu rea intenție poate cauza un atac de scriptare pe site-uri multiple. Această actualizare rezolvă problema prin îmbunătățirea tratării adreselor URL. Îi mulțumim lui Robert Swiecki de la Google Information Security Team și lui David Bloom pentru raportarea acestei probleme.

WebKit

CVE-ID: CVE-2008-1026

Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2, Windows XP sau Vista

Impact: vizualizarea unui site web creat cu rea intenție poate cauza terminarea neașteptată a aplicației sau executarea unui cod arbitrar.

Descriere: există o depășire a memoriei tampon Heap în tratarea de către WebKit a expresiilor JavaScript obișnuite. Problema poate fi declanșată prin JavaScript atunci când se procesează expresii regulate cu multe repetiții imbricate. Acest lucru poate duce la închiderea neașteptată a aplicației sau la executarea unui cod arbitrar. Această actualizare rezolvă problema efectuând validarea suplimentară a expresiilor regulate JavaScript. Îi mulțumim lui Charlie Miller, Jake Honoroff și lui Mark Daniel care lucrează cu inițiativa Zero Day de la TippingPoint pentru raportarea acestei probleme.