Safari 4.0.4
-
ColorSync
Идентификатор CVE: CVE-2009-2804
Доступно для: Windows 7, Vista, XP
Воздействие. Просмотр вредоносного изображения со встроенным цветовым профилем может привести к неожиданному завершению работы программы или к выполнению стороннего кода
Описание. Проблема целочисленного переполнения возникает при обработке изображений со встроенным цветовым профилем, что может привести к переполнению буфера кучи. Открытие вредоносного изображения со встроенным цветовым профилем может привести к неожиданному завершению работы программы или к выполнению стороннего кода. Данная проблема решается путем выполнения дополнительной проверки цветовых профилей. Эта проблема не распространяется на ОС Mac OS X версии 10.6. Она была решена в обновлении Security Update 2009-005 для систем Mac OS X 10.5.8. Благодарим компанию Apple.
-
libxml
Идентификатор CVE: CVE-2009-2414, CVE-2009-2416
Доступно для: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Windows 7, Vista, XP
Воздействие. Анализ вредоносного содержимого XML может привести к неожиданному завершению работы программы
Описание. В библиотеке libxml2 существуют проблемы «использования после очистки», наиболее серьезная из которых может привести к неожиданному завершению работы программы. Это обновление позволяет обойти описанные проблемы путем улучшения алгоритмов обработки памяти. Эти проблемы были решены в обновлении Mac OS X 10.6.2 и обновлении Security Update 2009-006 для систем Mac OS X 10.5.8.
-
Safari
Идентификатор CVE: CVE-2009-2842
Доступно для: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 и v10.6.2, Mac OS X Server v10.6.1 и v10.6.2, Windows 7, Vista, XP
Воздействие. Если параметры меню быстрого доступа используются на вредоносном веб-сайте, это может привести к раскрытию локальной информации
Описание. Проблема существует при выполнении навигации в браузере Safari с использованием параметров меню быстрого доступа «Открыть изображение в новой вкладке», «Открыть изображение в новом окне» или «Открыть ссылку в новой вкладке». При использовании этих параметров на вредоносном веб-сайте возможна загрузка локального файла HTML, что ведет к раскрытию значимой информации. Эта проблема решается при отключении перечисленных параметров меню быстрого доступа, когда ссылка дается на локальный файл.
-
WebKit
Идентификатор CVE: CVE-2009-2816
Доступно для: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 и v10.6.2, Mac OS X Server v10.6.1 и v10.6.2, Windows 7, Vista, XP
Воздействие. Посещение вредоносного веб-сайта может привести к неожиданным действиям на других веб-сайтах
Описание. Проблема существует в реализации WebKit механизма Cross-Origin Resource Sharing. Перед тем как разрешить странице, полученной из одного источника, доступ к ресурсам другого источника, WebKit отправляет предварительный запрос на сервер второго источника на получение доступа к ресурсам. WebKit включает настраиваемые HTTP-заголовки, указываемые на странице запроса при выполнении предварительного запроса. При этом может увеличиться количество ложных запросов между веб-сайтами. Эта проблема решается путем удаления настраиваемых HTTP-заголовков из предварительных запросов. Благодарим компанию Apple.
-
WebKit
Идентификатор CVE: CVE-2009-3384
Доступно для: Windows 7, Vista, XP
Воздействие. Получение доступа к вредоносному FTP-серверу может привести к неожиданному завершению работы программы, раскрытию информации или выполнению произвольного кода
Описание. При выполнении обработки WebKit списков каталогов FTP существует несколько уязвимостей. Получение доступа к вредоносному FTP-серверу может привести к раскрытию информации, неожиданному завершению работы программы или выполнению произвольного кода. Это обновление позволяет обойти описанные проблемы путем улучшения анализа списков каталогов FTP. Эти проблемы не распространяются на браузер Safari в системах Mac OS X. Благодарим Михаля Залевски (Michal Zalewski) из компании Google Inc. за сообщение об этих проблемах.
-
WebKit
Идентификатор CVE: CVE-2009-2841
Доступно для: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 и v10.6.2, Mac OS X Server v10.6.1 и v10.6.2
Воздействие. При использовании почты может загружаться удаленное аудио- и видеосодержимое, если отключена удаленная загрузка изображений
Описание. Когда WebKit обнаруживает мультимедийный элемент HTML 5, указывающий на внешний ресурс, он не инициирует обратный вызов загрузки ресурса, чтобы определить, следует ли загружать ресурс. Это может привести к отправке нежелательных запросов на удаленные сервера. Например, отправитель сообщения электронной почты в формате HTML может использовать эту возможность для определения того, прочитано ли его сообщение. Эта проблема решается путем создания обратных вызовов загрузки ресурсов, когда WebKit обнаруживает мультимедийный элемент HTML 5. Эта проблема не распространяется на браузер Safari в системах Windows.