Сведения о проблемах системы безопасности, устраняемых обновлением Safari 3.1.2 для Windows

В этом документе описываются проблемы системы безопасности, устраняемые обновлением Safari 3.1.2 для Windows, которое можно загрузить и установить с помощью настроек раздела Обновление ПО или со страницы «Загрузки» на сайте Apple.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает их и не участвует в их обсуждении до тех пор, пока не будет проведено полное расследование и не станут доступны необходимые исправления или выпуски программного обеспечения. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье «Использование PGP-ключа безопасности продуктов Apple».

Если возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

Safari 3.1.2 для Windows

Safari

Идентификатор CVE: CVE-2008-1573

Целевые продукты: Windows XP или Vista

Воздействие. Просмотр вредоносного изображения BMP или GIF может привести к раскрытию информации.

Описание. При обработке изображений BMP и GIF может происходить чтение за пределами выделенной памяти, что может привести к раскрытию содержимого памяти. В этом обновлении проблема устраняется путем дополнительной проверки изображений BMP и GIF. Эта проблема устранена в системах под управлением Mac OS X 10.5.3 и Mac OS X 10.4.11 с обновлением системы безопасности 2008-003. Благодарим Джинваэля Колдуинда (Gynvael Coldwind) из Hispasec за сообщение об этой проблеме.

Safari

Идентификатор CVE: CVE-2008-2540

Целевые продукты: Windows XP или Vista

Воздействие. Сохранение ненадежных файлов на рабочем столе Windows может привести к выполнению произвольного кода.

Описание. Имеется проблема со способом обработки рабочим столом Windows исполняемых файлов. Сохранение ненадежного файла на рабочем столе Windows может вызвать проблему и привести к выполнению произвольного кода. Веб-браузеры — это средство, позволяющее сохранять файлы на рабочем столе. Чтобы помочь устранить эту проблему, в браузер Safari было внесено обновление, которое выдает пользователю запрос, прежде чем сохранять загружаемый файл. Кроме того, расположение загрузки по умолчанию изменено на папку «Загрузки» пользователя в Windows Vista и на папку «Документы» пользователя в Windows XP. Эта проблема не возникает в системах под управлением Mac OS X. Дополнительная информация доступна в статье по адресу https://www.microsoft.com/technet/security/advisory/953818.mspx, в которой Авив Рафф (Aviv Raff) сообщает о проблеме.

Safari

Идентификатор CVE: CVE-2008-2306

Целевые продукты: Windows XP или Vista

Воздействие. Посещение вредоносного веб-сайта, который находится в доверенной зоне Internet Explorer, может привести к автоматическому выполнению произвольного кода.

Описание. Если веб-сайт находится в зоне Internet Explorer 7 с включенным параметром «Запуск приложений и небезопасных файлов» или если веб-сайт находится в зоне «Локальная интрасеть» или «Доверенные сайты» Internet Explorer 6, Safari автоматически запустит исполняемые файлы, загруженные с сайта. Это обновление устраняет проблему, не запуская автоматически загруженные исполняемые файлы и выдавая пользователю запрос перед загрузкой файла, если включен параметр «Всегда запрашивать». Эта проблема отсутствует в системах под управлением Mac OS X. Благодарим Уилла Дорманна (Will Dormann) из CERT/CC за сообщение об этой проблеме. Благодарим Microsoft Security Response Center за совместные усилия по устранению этой проблемы.

WebKit

Идентификатор CVE: CVE-2008-2307

Целевые продукты: Windows XP или Vista

Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

Описание. При обработке компонентом WebKit массивов JavaScript возникает проблема, приводящая к повреждению памяти. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Данное обновление устраняет проблему за счет улучшенной проверки границ. Благодарим Джеймса Уркварта (James Urquhart) за сообщение об этой проблеме.