Obsah zabezpečenia v prehliadači Safari 3.1.1

V tomto dokumente sa opisuje obsah zabezpečenia v prehliadači Safari 3.1.1, ktorý je možné stiahnuť a nainštalovať prostredníctvom nastavení Aktualizácia softvéru alebo zo súborov Apple na stiahnutie.

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.

Safari 3.1.1

Safari

CVE-ID: CVE-2007-2398

K dispozícii pre: Windows XP alebo Vista

Dopad: Webová stránka so škodlivým kódom môže ovládať obsah lišty s adresou.

Popis: Problém s časovaním v prehliadači Safari 3.1 umožňuje webovej stránke zmeniť obsah lišty s adresou bez načítania obsahu príslušnej stránky. To možno zneužiť na sfalšovanie obsahu legitímnej stránky a následné zhromažďovanie prihlasovacích údajov používateľa alebo iných informácií. Tento problém bol vyriešený v prehliadači Safari Beta 3.0.2, no znova sa objavil v prehliadači Safari 3.1. Táto aktualizácia ho rieši obnovením obsahu lišty s adresou, ak je žiadosť o novú webovú stránku ukončená. Tento problém sa netýka systémov Mac OS X.

Safari

CVE-ID: CVE-2008-1024

K dispozícii pre: Windows XP alebo Vista

Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu.

Popis: Pri sťahovaní súborov v prehliadači Safari dochádza k problému s poškodením pamäte. Útočník môže tým, že naláka používateľa na stiahnutie súboru s názvom obsahujúcim škodlivý kód, spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu. Táto aktualizácia rieši tento problém vylepšeným spracovaním stiahnutých súborov. Tento problém sa netýka systémov Mac OS X.

WebKit

CVE-ID: CVE-2008-1025

K dispozícii pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.2, Mac OS X Server 10.5.2, Windows XP alebo Vista

Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť ku skriptovaniu medzi lokalitami.

Popis: Pri spracúvaní URL adries, ktoré majú v názve hostiteľa dvojbodku, pomocou nástroja WebKit dochádza k problému. Otvorenie URL adresy so škodlivým kódom môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami. Táto aktualizácia rieši tento problém vylepšením spracovania URL adries. Poďakovanie za nahlásenie tohto problému si zaslúžia Robert Swiecki z tímu Google Information Security Team a David Bloom.

WebKit

CVE-ID: CVE-2008-1026

K dispozícii pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.2, Mac OS X Server 10.5.2, Windows XP alebo Vista

Dopad: Zobrazenie webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu.

Popis: Pri spracúvaní regulárnych výrazov JavaScriptu nástrojom WebKit dochádza k pretečeniu medzipamäte haldy. Tento problém môže byť spustený prostredníctvom JavaScriptu pri spracúvaní regulárnych výrazov s veľkým počtom vnorených opakovaní. Môže to viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši tento problém vykonávaním dodatočného overovania regulárnych výrazov JavaScriptu. Poďakovanie za nahlásenie tohto problému si zaslúžia Charlie Miller, Jake Honoroff a Mark Daniel v spolupráci s projektom Zero Day Initiative spoločnosti TippingPoint.