О степени безопасности Safari 4.0.5

В настоящем документе описывается степень безопасности Safari 4.0.5.

В целях защиты своих пользователей компания Apple не разглашает и не подтверждает информацию о проблемах безопасности, а также не участвует в их обсуждении до тех пор, пока не будет полностью завершено изучение проблемы и не будут выпущены все необходимые исправления и обновления. Дополнительную информацию об обеспечении безопасности продуктов Apple см. на веб-странице «Обеспечение безопасности продуктов Apple».

Дополнительную информацию об обеспечении безопасности продуктов Apple с помощью ключа PGP см. в статье «Использование PGP-ключа для защиты продуктов Apple».

Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Дополнительную информацию о других обновлениях системы безопасности см. в статье «Обновления системы безопасности Apple».

Safari 4.0.5

  • ColorSync

    Идентификатор CVE: CVE-2010-0040

    Доступно для: Windows 7, Vista, XP

    Воздействие. Просмотр вредоносного изображения со встроенным цветовым профилем может привести к неожиданному завершению работы программы или к выполнению стороннего кода

    Описание. При обработке изображений со встроенным профилем цвета возможно переполнение буфера динамически распределяемых структур данных. Открытие вредоносного изображения со встроенным цветовым профилем может привести к неожиданному завершению работы программы или к выполнению стороннего кода. Данная проблема решается путем выполнения дополнительной проверки цветовых профилей. Эта проблема не распространяется на операционные системы Mac OS X. Благодарим Себастьяна Ренода (Sebastien Renaud) из VUPEN Vulnerability Research Team за сообщение об этой проблеме.

  • ImageIO

    Идентификатор CVE: CVE-2009-2285

    Доступно для: Windows 7, Vista, XP

    Воздействие. Просмотр вредоносного файла изображения TIFF может привести к непредусмотренному завершению работы приложения или выполнению произвольного кода

    Описание. В способе обработки программой ImageIO изображений в формате TIFF существует проблема, которая может привести к незаполнению буфера. Просмотр вредоносного изображения TIFF может привести к неожиданному завершению работы приложения или к выполнению случайного кода. Проблема устранена путем улучшенной проверки границ. Эта проблема в Mac OS X 10.6 решается путем обновления до Mac OS X 10.6.2. В системах Mac OS X 10.5 эта проблема решается с помощью обновления системы безопасности 2010-001.

  • ImageIO

    Идентификатор CVE: CVE-2010-0041

    Доступно для: Windows 7, Vista, XP

    Воздействие. Посещение вредоносного веб-сайта пользователем может предоставить злоумышленнику доступ к данным, находящимся в области памяти программы Safari

    Описание. При обработке изображений BMP в ImageIO возможен неинициализированный доступ к памяти. Посещение вредоносного веб-сайта пользователем может предоставить злоумышленнику доступ к данным, находящимся в области памяти программы Safari. Проблема устранена путем улучшенной обработки памяти и дополнительной проверки изображений BMP. Благодарим Мэтью Юрчика (Matthew 'j00ru' Jurczyk) из Hispasec за сообщение об этой проблеме.

  • ImageIO

    Идентификатор CVE: CVE-2010-0042

    Доступно для: Windows 7, Vista, XP

    Воздействие. Посещение вредоносного веб-сайта пользователем может предоставить злоумышленнику доступ к данным, находящимся в области памяти программы Safari

    Описание. При обработке изображений TIFF в ImageIO возможен неинициализированный доступ к памяти. Посещение вредоносного веб-сайта пользователем может предоставить злоумышленнику доступ к данным, находящимся в области памяти программы Safari. Проблема устранена путем улучшенной обработки памяти и дополнительной проверки изображений TIFF. Благодарим Мэтью Юрчика (Matthew 'j00ru' Jurczyk) из Hispasec за сообщение об этой проблеме.

  • ImageIO

    Идентификатор CVE: CVE-2010-0043

    Доступно для: Windows 7, Vista, XP

    Воздействие. Обработка вредоносного файла изображения TIFF может привести к непредусмотренному завершению работы программы или выполнению произвольного кода

    Описание. В способе обработки изображений формата TIFF существует проблема, которая вызывает повреждение данных в памяти. Обработка вредоносного файла изображения TIFF может привести к непредусмотренному завершению работы программы или выполнению произвольного кода. Проблема устранена путем улучшенной обработки памяти. Благодарим Гуса Мюллера (Gus Mueller) из компании Flying Meat Software за сообщение об этой проблеме.

  • PubSub

    Идентификатор CVE: CVE-2010-0044

    Доступно для: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 или более поздней версии, Mac OS X Server 10.6.1 или более поздней версии, Windows 7, Vista, XP

    Воздействие. Посещение или обновление источника может привести к сохранению на компьютере файлов cookie, даже если обозреватель Safari настроен на блокировку файлов cookie

    Описание. Проблема реализации существует при обработке файлов cookie, заданных источниками RSS и Atom. Посещение или обновление источника может привести к сохранению на компьютере файлов cookie, даже если параметр «Принимать файлы Cookie» в Safari настроен на блокировку файлов cookie. Это обновление устраняет данную проблему, заставляя обозреватель использовать текущую политику в отношении файлов cookie при обновлении или просмотре источников.

  • Safari

    Идентификатор CVE: CVE-2010-0045

    Доступно для: Windows 7, Vista, XP

    Воздействие. Посещение вредоносного веб-сайта может привести к выполнению произвольного кода

    Описание. В обозревателе Safari существует проблема, связанная с обработкой внешних URL-схем, из-за чего при нажатии ссылки на веб-странице может запуститься локальный файл. Посещение вредоносного веб-сайта может привести к выполнению произвольного кода. Данное обновление позволяет решить описанную проблему путем усовершенствования проверки внешних URL-адресов. Эта проблема не распространяется на операционные системы Mac OS X. Благодарим Билли Райоса (Billy Rios) и Microsoft Vulnerability Research (MSVR) за сообщение об этой проблеме.

  • WebKit

    Идентификатор CVE: CVE-2010-0046

    Доступно для: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 или более поздней версии, Mac OS X Server 10.6.1 или более поздней версии, Windows 7, Vista, XP

    Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода

    Описание. В способе обработки компонентом WebKit аргументов CSS format() существует уязвимость, приводящая к повреждению памяти. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода. Проблема устранена путем улучшенной обработки аргументов CSS format(). Благодарим Роберта Свики (Robert Swiecki) из компании Google за сообщение об этой проблеме.

  • WebKit

    Идентификатор CVE: CVE-2010-0047

    Доступно для: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 или более поздней версии, Mac OS X Server 10.6.1 или более поздней версии, Windows 7, Vista, XP

    Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода

    Описание. При обработке содержимого fallback элемента объекта HTML существует проблема «использования после очистки». Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода. Проблема устранена путем улучшенного отслеживания ссылок на память. Благодарим Ву Ши (Wushi) из team509, сотрудничающего с компанией TippingPoint по программе Zero Day Initiative, за сообщение об этой проблеме.

  • WebKit

    Идентификатор CVE: CVE-2010-0048

    Доступно для: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 или более поздней версии, Mac OS X Server 10.6.1 или более поздней версии, Windows 7, Vista, XP

    Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода

    Описание. В WebKit существует проблема «использования после очистки» при обработке документов XML. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода. Проблема устранена путем улучшенного отслеживания ссылок на память. Благодарим Ву Ши (Wushi) из team509, сотрудничающего с компанией TippingPoint по программе Zero Day Initiative, за сообщение об этой проблеме.

  • Webkit

    Идентификатор CVE: CVE-2010-0049

    Доступно для: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 или более поздней версии, Mac OS X Server 10.6.1 или более поздней версии, Windows 7, Vista, XP

    Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода

    Описание. При обработке элементов HTML, содержащих текст, отображаемый справа налево, существует проблема «использования после очистки». Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода. Проблема устранена путем улучшенного отслеживания ссылок на память. Благодарим Ву Ши (Wushi) из team509, сотрудничающего с компанией TippingPoint по программе Zero Day Initiative, за сообщение об этой проблеме.

  • WebKit

    Идентификатор CVE: CVE-2010-0050

    Доступно для: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 или более поздней версии, Mac OS X Server 10.6.1 или более поздней версии, Windows 7, Vista, XP

    Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода

    Описание. В WebKit существует проблема «использования после очистки» при обработке неправильно вложенных тегов HTML. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода. Проблема устранена путем улучшенного отслеживания ссылок на память. Благодарим Ву Ши (Wushi) из team509, сотрудничающего с компанией TippingPoint по программе Zero Day Initiative, за сообщение об этой проблеме.

  • WebKit

    Идентификатор CVE: CVE-2010-0051

    Доступно для: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 или более поздней версии, Mac OS X Server 10.6.1 или более поздней версии, Windows 7, Vista, XP

    Воздействие. Посещение вредоносного веб-сайта может привести к разглашению конфиденциальных сведений

    Описание. Существует проблема реализации при обработке в WebKit запросов таблиц стилей из различных источников. Посещение вредоносного веб-сайта может предоставить злоумышленнику доступ к защищенным ресурсам другого веб-сайта. Это обновление устраняет данную проблему путем дополнительной проверки таблиц стилей, загружаемых по запросу из различных источников.

  • WebKit

    Идентификатор CVE: CVE-2010-0052

    Доступно для: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 или более поздней версии, Mac OS X Server 10.6.1 или более поздней версии, Windows 7, Vista, XP

    Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода

    Описание. В WebKit существует проблема «использования после очистки» при обработке обратных вызовов для элементов HTML. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода. Проблема устранена путем улучшенного отслеживания ссылок на память. Благодарим сотрудников Apple.

  • WebKit

    Идентификатор CVE: CVE-2010-0053

    Доступно для: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 или более поздней версии, Mac OS X Server 10.6.1 или более поздней версии, Windows 7, Vista, XP

    Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода

    Описание. При обработке содержимого, свойство отображения CSS которого принимает значение run-in, существует проблема «использования после очистки». Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода. Проблема устранена путем улучшенного отслеживания ссылок на память. Благодарим Ву Ши (Wushi) из team509, сотрудничающего с компанией TippingPoint по программе Zero Day Initiative, за сообщение об этой проблеме.

  • WebKit

    Идентификатор CVE: CVE-2010-0054

    Доступно для: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 или более поздней версии, Mac OS X Server 10.6.1 или более поздней версии, Windows 7, Vista, XP

    Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода

    Описание. В WebKit существует проблема «использования после очистки» при обработке элементов изображений HTML. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода. Проблема устранена путем улучшенного отслеживания ссылок на память. Благодарим сотрудников Apple.

Дата публикации: