Obsah súvisiaci so zabezpečením aplikácie Safari 3.1.2 pre Windows

V tomto dokumente sa opisuje obsah súvisiaci so zabezpečením aplikácie Safari 3.1.2 pre Windows, ktorý je možné stiahnuť a nainštalovať prostredníctvom predvolieb v aplikácii Software Update alebo z webovej lokality spoločnosti Apple so súbormi na stiahnutie.

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa tieto problémy úplne nepreskúmajú a kým nebudú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej lokalite zabezpečenia produktov spoločnosti Apple.

Informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku „Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple“.

Pokiaľ je to možné, ako odkazy na ďalšie informácie o príslušných chybách zabezpečenia sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku „Aktualizácie zabezpečenia od spoločnosti Apple“.

Safari 3.1.2 pre Windows

Safari

Identifikátor CVE: CVE-2008-1573

K dispozícii pre: Windows XP alebo Vista

Dopad: Zobrazenie obrázka BMP alebo GIF so škodlivým kódom môže viesť k sprístupneniu informácií.

Popis: Pri spracúvaní obrázkov BMP a GIF môže dochádzať k čítaniu pamäte mimo povolených hraníc, čo môže viesť k sprístupneniu obsahu pamäte. Táto aktualizácia rieši tento problém prostredníctvom vykonávania dodatočného overovania obrázkov BMP a GIF. Tento problém bol vyriešený v systéme Mac OS X 10.5.3 a v systéme Mac OS X 10.4.11 s aktualizáciou zabezpečenia 2008-003. Tento problém nahlásil Gynvael Coldwind zo spoločnosti Hispasec, za čo mu patrí poďakovanie.

Safari

Identifikátor CVE: CVE-2008-2540

K dispozícii pre: Windows XP alebo Vista

Dopad: Uloženie nedôveryhodných súborov na pracovnú plochu systému Windows môže viesť k vykonaniu ľubovoľného kódu.

Popis: Dochádza k problému s tým, ako pracovná plocha systému Windows zaobchádza so spustiteľnými súbormi. Uloženie nedôveryhodného súboru na pracovnú plochu systému Windows môže vyvolať tento problém a viesť k vykonaniu ľubovoľného kódu. Webové prehliadače umožňujú ukladanie súborov na pracovnú plochu. Tento problém bol zmiernený aktualizovaním prehliadača Safari tak, aby sa používateľovi pred uložením súboru na stiahnutie zobrazila výzva na potvrdenie. Takisto predvolené umiestnenie sťahovaných súborov sa zmenilo na priečinok Stiahnuté súbory používateľa v systéme Windows Vista a na priečinok Dokumenty používateľa v systéme Windows XP. V systémoch Mac OS X k tomuto problému nedochádza. Ďalšie informácie sú k dispozícii na stránke http://www.microsoft.com/technet/security/advisory/953818.mspx, ktorá uvádza, že tento problém nahlásil Aviv Raff.

Safari

Identifikátor CVE: CVE-2008-2306

K dispozícii pre: Windows XP alebo Vista

Dopad: Návšteva webovej lokality so škodlivým kódom, ktorá sa nachádza v dôveryhodnej zóne prehliadača Internet Explorer, môže viesť k automatickému vykonaniu ľubovoľného kódu.

Popis: Ak sa príslušná webová lokalita nachádza v zóne prehliadača Internet Explorer 7 s položkou „Spúšťanie aplikácií a nebezpečných súborov“ nastavenou na hodnotu „Povoliť“, prípadne ak sa príslušná webová lokalita nachádza v zóne „Lokálny intranet“ alebo „Dôveryhodné lokality“ prehliadača Internet Explorer 6, prehliadač Safari automaticky spustí spustiteľné súbory stiahnuté z danej lokality. Táto aktualizácia rieši tento problém tak, že stiahnuté spustiteľné súbory sa nebudú spúšťať automaticky a pred stiahnutím súboru sa používateľovi zobrazí výzva, pokiaľ je zapnuté nastavenie „Vždy zobraziť výzvu“. V systémoch Mac OS X k tomuto problému nedochádza. Tento problém nahlásili Will Dormann z centra CERT/CC, za čo mu patrí poďakovanie. Ďakujeme centru Microsoft Security Response Center za spoluprácu pri riešení tohto problému.

WebKit

Identifikátor CVE: CVE-2008-2307

K dispozícii pre: Windows XP alebo Vista

Dopad: Návšteva webovej lokality so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo vykonaniu ľubovoľného kódu.

Popis: Pri spracúvaní polí JavaScriptu pomocou nástroja WebKit dochádza k problému s poškodením obsahu pamäte. Návšteva webovej lokality so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo vykonaniu ľubovoľného kódu. Táto aktualizácia rieši tento problém prostredníctvom vylepšenej kontroly hraníc. Tento problém nahlásil James Urquhart, za čo mu patrí poďakovanie.