Informácie o obsahu zabezpečenia v prehliadači Safari 4.0.3.

V tomto dokumente sa opisuje obsah zabezpečenia v prehliadači Safari 4.0.3.

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku „Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple“.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku „Aktualizácie zabezpečenia od spoločnosti Apple“.

Safari 4.0.3

• CoreGraphics

  CVE-ID: CVE-2009-2468

  Dostupné pre: Windows XP a Vista

  Dosah: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

  Popis: Pri vykresľovaní dlhých textových reťazcov dochádza k pretečeniu medzipamäte haldy. Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo vykonaniu ľubovoľného kódu. Táto aktualizácia rieši tento problém vylepšenou kontrolou rozsahu. Poďakovanie za nahlásenie tohto problému si zaslúži Will Drewry (Google Inc).

• ImageIO

  CVE-ID: CVE-2009-2188

  Dostupné pre: Windows XP a Vista

  Dosah: Zobrazenie obrázka so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

  Popis: Pri spracúvaní metadát EXIF dochádza k pretečeniu medzipamäte. Zobrazenie obrázka so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši tento problém vylepšenou kontrolou rozsahu.

• Safari

  CVE-ID: CVE-2009-2196

  Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows XP a Vista

  Dosah: Do zobrazenia Top stránky v prehliadači Safari sa môže dostať webová stránka so škodlivým kódom

  Popis: V prehliadači Safari 4 pribudla funkcia Top stránky, ktorá ponúka rýchly prehľad obľúbených webových stránok používateľa. Môže sa stať, že webová stránka so škodlivým kódom dostane pomocou automatizovaných akcií do zobrazenia Top stránky ľubovoľné stránky. To možno zneužiť na uskutočnenie phishingového útoku. Tento problém bol vyriešený tým, že sa zabránilo, aby automatizované návštevy webových stránok ovplyvňovali zoznam Top stránky. Do zoznamu Top stránky môžu byť zahrnuté iba webové stránky, ktoré používateľ navštívi manuálne. Upozorňujeme, že v prehliadači Safari je predvolene zapnutá detekcia podvodných stránok. Od uvedenia funkcie Top stránky sa podvodné stránky v zobrazení Top stránky nezobrazujú. Poďakovanie za nahlásenie tohto problému si zaslúži Inferno z tímu SecureThoughts.com.

• WebKit

  CVE-ID: CVE-2009-2195

  Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows XP a Vista

  Dosah: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

  Popis: Pri analýze čísel s pohyblivou rádovou čiarkou nástrojom WebKit dochádza k pretečeniu medzipamäte. Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo vykonaniu ľubovoľného kódu. Táto aktualizácia rieši tento problém vylepšenou kontrolou rozsahu. Poďakovanie patrí spoločnosti Apple.

• WebKit

  CVE-ID: CVE-2009-2200

  Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows XP a Vista

  Dosah: Návšteva webovej stránky so škodlivým kódom a kliknutie na Prejsť pri zobrazení dialógového okna pluginu so škodlivým kódom môže viesť k úniku citlivých informácií

  Popis: WebKit umožňuje, aby atribút pluginspage vloženého prvku odkazoval na URL adresy „file“. Kliknutie na Prejsť v dialógovom okne, ktoré sa zobrazí, keď je pridaný odkaz na neznámy typ pluginu, bude viesť k presmerovaniu na URL adresu uvedenú v atribúte pluginspage. V dôsledku toho môže vzdialený útočník spustiť v prehliadači Safari URL adresy „file“, čo môže viesť k úniku citlivých informácií. Táto aktualizácia rieši tento problém obmedzením schémy URL adresy v atribúte pluginspage na „http“ alebo „https“. Poďakovanie za nahlásenie tohto problému si zaslúži Alexios Fakos zo spoločnosti n.runs AG.

• WebKit

  CVE-ID: CVE-2009-2199

  Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows XP a Vista

  Dosah: Podobné znaky v URL adrese by mohli byť použité na vydávanie sa za inú webovú stránku

  Popis: S použitím podpory medzinárodných názvov domén IDN (International Domain Name) a písiem Unicode integrovaných v prehliadači Safari mohla byť vytvorená URL adresa obsahujúca podobné znaky. To bolo možné využiť na webovej stránke so škodlivým kódom na nasmerovanie používateľa na sfalšovanú stránku, ktorá sa vizuálne javí ako právoplatná doména. Táto aktualizácia rieši tento problém doplnením zoznamu známych podobných znakov v mechanizme WebKit. Podobné znaky sa na lište s adresou vykresľujú pomocou kódovania Punycode. Poďakovanie za nahlásenie tohto problému si zaslúži Chris Weber zo spoločnosti Casaba Security, LLC.