Obsah zabezpečenia v prehliadači Safari 3.2
V tomto dokumente sa opisuje obsah zabezpečenia v prehliadači Safari 3.2.
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.
Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.
Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.
Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia spoločnosti Apple.
Safari 3.2
Safari
CVE-ID: CVE-2005-2096
Dostupné pre: Windows XP alebo Vista
Dopad: Viacero nedostatočne zabezpečených miest v knižnici zlib 1.2.2
Popis: V knižnici zlib 1.2.2 existuje viacero nedostatočne zabezpečených miest, z ktorých tie najvážnejšie môžu viesť k odmietnutiu služby. Táto aktualizácia rieši tento problém aktualizáciou knižnice zlib na verziu 1.2.3. Tieto problémy sa netýkajú systémov Mac OS X. Poďakovanie za nahlásenie týchto problémov si zaslúžia Robbie Joosten z tímu bioinformatics@school a David Gunnells z univerzity v Alabame v Birminghame.
Safari
CVE-ID: CVE-2008-1767
Dostupné pre: Windows XP alebo Vista
Dopad: Spracovanie dokumentu XML môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: V knižnici libxslt dochádza k problému s pretečením vyrovnávacej pamäte haldy. Zobrazenie stránky HTML so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Ďalšie informácie o použitej oprave sú k dispozícii na webovej stránke http://xmlsoft.org/XSLT/ Tento problém sa netýka systémov Mac OS X, ktoré použili aktualizáciu zabezpečenia 2008-007. Poďakovanie za nahlásenie tohto problému si zaslúžia Anthony de Almeida Lopes z tímu Outpost24 AB a Chris Evans z tímu Google Security Team.
Safari
CVE-ID: CVE-2008-3623
Dostupné pre: Windows XP alebo Vista
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Pri spracúvaní farebných priestorov súčasťou CoreGraphics dochádza k pretečeniu vyrovnávacej pamäte haldy. Zobrazenie obrázka so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši tento problém vylepšenou kontrolou rozsahu. Poďakovanie patrí spoločnosti Apple.
Safari
CVE-ID: CVE-2008-2327
Dostupné pre: Windows XP alebo Vista
Dopad: Zobrazenie obrázka TIFF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Pri spracúvaní obrázkov TIFF s kódovaním LZW súčasťou libTIFF dochádza k viacerým problémom súvisiacim s prístupom k neinicializovanej pamäti. Zobrazenie obrázka TIFF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši tento problém správnou inicializáciou pamäte a dodatočným overovaním obrázkov TIFF. Tento problém bol vyriešený v systémoch Mac OS X 10.5.5 alebo novších a v systémoch Mac OS X 10.4.11, ktoré použili aktualizáciu zabezpečenia 2008-006. Poďakovanie patrí spoločnosti Apple.
Safari
CVE-ID: CVE-2008-2332
Dostupné pre: Windows XP alebo Vista
Dopad: Zobrazenie obrázka TIFF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Pri spracúvaní obrázkov TIFF súčasťou ImageIO dochádza k problému súvisiacemu s poškodením pamäte. Zobrazenie obrázka TIFF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši tento problém vylepšením spracovania obrázkov TIFF. Tento problém bol vyriešený v systémoch Mac OS X 10.5.5 alebo novších a v systémoch Mac OS X 10.4.11, ktoré použili aktualizáciu zabezpečenia 2008-006. Poďakovanie za nahlásenie tohto problému si zaslúži Robert Swiecki z tímu Google Security Team.
Safari
CVE-ID: CVE-2008-3608
Dostupné pre: Windows XP alebo Vista
Dopad: Zobrazenie veľkého obrázka JPEG so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Pri spracúvaní vložených profilov ICC v obrázkoch JPEG súčasťou ImageIO dochádza k problému súvisiacemu s poškodením pamäte. Zobrazenie veľkého obrázka JPEG so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši tento problém vylepšením spracovania profilov ICC. Tento problém bol vyriešený v systémoch Mac OS X 10.5.5 alebo novších a v systémoch Mac OS X 10.4.11, ktoré použili aktualizáciu zabezpečenia 2008-006. Poďakovanie patrí spoločnosti Apple.
Safari
CVE-ID: CVE-2008-3642
Dostupné pre: Windows XP alebo Vista
Dopad: Zobrazenie obrázka so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Pri spracúvaní obrázkov s vloženým profilom ICC dochádza k pretečeniu vyrovnávacej pamäte haldy. Otvorenie obrázka s vloženým profilom ICC so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši tento problém dodatočným overovaním profilov ICC v obrázkoch. Tento problém sa netýka systémov Mac OS X, ktoré použili aktualizáciu zabezpečenia 2008-007. Poďakovanie patrí spoločnosti Apple.
Safari
CVE-ID: CVE-2008-3644
Dostupné pre: Mac OS X 10.4.11, Mac OS X 10.5.5, Windows XP alebo Vista
Dopad: Môže dôjsť k zverejneniu citlivých informácií lokálnemu používateľovi konzoly
Popis: Vypnutie automatického vypĺňania v poli formulára nemusí zabrániť uloženiu dát z poľa do vyrovnávacej pamäte stránky prehliadača. To môže viesť k zverejneniu citlivých informácií lokálnemu používateľovi. Táto aktualizácia rieši tento problém správnym vymazaním dát formulárov. Poďakovanie za nahlásenie tohto problému si zaslúži anonymný výskumník.
WebKit
CVE-ID: CVE-2008-2303
Dostupné pre: Mac OS X 10.4.11, Mac OS X 10.5.5, Windows XP alebo Vista
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Pri spracúvaní indexov polí JavaScriptu v Safari dochádza k problému so znamienkami hodnôt, ktorý môže mať za následok prístup do pamäte mimo rozsahu. Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo vykonaniu ľubovoľného kódu. Táto aktualizácia rieši tento problém dodatočným overovaním indexov polí JavaScriptu. Poďakovanie za nahlásenie tohto problému si zaslúži SkyLined zo spoločnosti Google.
WebKit
CVE-ID: CVE-2008-2317
Dostupné pre: Mac OS X 10.4.11, Mac OS X 10.5.5, Windows XP alebo Vista
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Pri spracúvaní prvkov šablóny so štýlmi súčasťou WebCore dochádza k problému súvisiacemu s poškodením pamäte. Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo vykonaniu ľubovoľného kódu. Táto aktualizácia rieši tento problém vylepšeným uvoľňovaním pamäte. Poďakovanie za nahlásenie tohto problému si zaslúži projekt Zero Day Initiative spoločnosti TippingPoint.
WebKit
CVE-ID: CVE-2008-4216
Dostupné pre: Mac OS X 10.4.11, Mac OS X 10.5.5, Windows XP alebo Vista
Dopad: Pri návšteve webovej stránky so škodlivým kódom môže dôjsť k úniku citlivých informácií
Popis: Rozhranie pluginu súčasti WebKit nebráni pluginom spúšťať lokálne URL adresy. Návšteva webovej stránky so škodlivým kódom môže umožniť vzdialenému útočníkovi spustiť lokálne súbory v Safari, čo môže viesť k zverejneniu citlivých informácií. Táto aktualizácia rieši tento problém obmedzením typov URL adries, ktoré možno spustiť prostredníctvom rozhrania pluginu. Poďakovanie za nahlásenie tohto problému si zaslúžia Billy Rios z tímu Microsoft a Nitesh Dhanjani z tímu Ernst & Young.
Dôležité: Uvedenie webových stránok a produktov tretích strán slúži len na informačné účely a nepredstavuje podporu ani odporúčanie. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním informácií alebo produktov, ktoré sa nachádzajú na webových stránkach tretích strán. Spoločnosť Apple ich poskytuje len pre pohodlie používateľov. Spoločnosť Apple netestovala informácie uvedené na týchto stránkach a neposkytuje žiadne vyhlásenia týkajúce sa ich presnosti alebo spoľahlivosti. S používaním akýchkoľvek informácií alebo produktov uvedených na internete sú spojené riziká a spoločnosť Apple v tejto súvislosti nenesie žiadnu zodpovednosť. Webové stránky tretích strán sú nezávislé od spoločnosti Apple a spoločnosť Apple nemá žiadnu kontrolu nad ich obsahom. Ak potrebujete ďalšie informácie, kontaktujte príslušného dodávateľa.
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.