Safari 4.0.3
-
Инфраструктура CoreGraphics
Идентификатор CVE: CVE-2009-2468
Подвержены уязвимости: Windows XP и Windows Vista
Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы приложения или выполнению произвольного кода
Описание. При визуализации длинных текстовых строк возникает переполнение буфера. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода. Это обновление устраняет описанную проблему с помощью усовершенствования проверки границ. Благодарим Вилла Друри (Will Drewry) из компании Google Inc. за сообщение об этой проблеме.
-
Инфраструктура ImageIO
Идентификатор CVE: CVE-2009-2188
Подвержены уязвимости: Windows XP и Windows Vista
Воздействие. Просмотр вредоносного файла изображения может привести к неожиданному завершению работы приложения или выполнению произвольного кода.
Описание. Проблема переполнения буфера возникает при обработке метаданных EXIF. Просмотр вредоносного изображения может привести к неожиданному завершению работы приложения или к выполнению произвольного кода. Это обновление устраняет описанную проблему путем усовершенствования проверки границ.
-
Safari
Идентификатор CVE: CVE-2009-2196
Подвержены уязвимости: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP и Windows Vista
Воздействие. Вредоносный веб-сайт может попасть в вид Top Sites в Safari.
Описание. В браузер Safari 4 добавлена функция Top Sites, позволяющая мгновенно увидеть любимые веб-сайты пользователя. Вредоносный сайт может помещать произвольные сайты в вид Top Sites с применением автоматизированных процедур. Это может использоваться для реализации фишинговых атак. Данная проблема решается таким образом, что автоматизированное посещение веб-сайтов не влияет на список популярных веб-сайтов Top Sites. В этот список включаются только те веб-сайты, которые пользователь открывает вручную. Обратите внимание, в браузере Safari по умолчанию включено распознавание мошеннических сайтов. С момента добавления функции Top Sites не зарегистрировано случаев отображения мошеннических сайтов в виде Top Sites. Благодарим Inferno из SecureThoughts.com за сообщение об этой проблеме.
-
WebKit
Идентификатор CVE: CVE-2009-2195
Подвержены уязвимости: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP и Windows Vista
Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы приложения или выполнению произвольного кода
Описание. При разборе чисел с плавающей запятой в WebKit возникает переполнение буфера. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода. Это обновление устраняет описанную проблему с помощью усовершенствования проверки границ. Благодарим компанию Apple.
-
WebKit
Идентификатор CVE: CVE-2009-2200
Подвержены уязвимости: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP и Windows Vista
Воздействие. Посещение вредоносного сайта и нажатие кнопки «Перейти» в диалоговом окне вредоносного подключаемого модуля может привести к раскрытию конфиденциальной информации.
Описание. WebKit позволяет атрибуту pluginspage элемента embed ссылаться на URL файлов. Нажатие кнопки «Перейти» в диалоге, который появляется при ссылке на неизвестный тип подключаемого модуля, приводит к переадресации на URL, указанный в атрибуте pluginspage. Это может позволить удаленному злоумышленнику запускать URL файлов в Safari и привести к раскрытию конфиденциальной информации. Данное обновление решает эту проблему путем использования в схеме URL атрибута pluginspage только http или https. Благодарим Алексиоса Факоса (Alexios Fakos) из n.runs AG за сообщение об этой проблеме.
-
WebKit
Идентификатор CVE: CVE-2009-2199
Подвержены уязвимости: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP и Windows Vista
Воздействие. Похожие символы в URL могут использоваться, чтобы выдать вредоносный веб-сайт за надежный.
Описание. Благодаря поддержке международных доменных имен IDN (International Domain Name) шрифты Юникод, встроенные в Safari, можно использовать для создания URL-адресов, содержащих похожие символы. Таким образом вредоносный веб-сайт может направлять пользователя на мошеннический сайт, который внешне похож на надежный домен. Данное обновление решает эту проблему путем расширения списка известных похожих символов в WebKit. Похожие символы визуализируются в адресной строке с использованием кодировки Punycode. Благодарим Криса Уэбера из компании Casaba Security, LLC за сообщение об этой проблеме.