Informácie o obsahu zabezpečenia v prehliadači Safari 4.0.3.
V tomto dokumente sa opisuje obsah zabezpečenia v prehliadači Safari 4.0.3.
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.
Informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku „Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple“.
Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.
Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku „Aktualizácie zabezpečenia od spoločnosti Apple“.
Safari 4.0.3
CoreGraphics
CVE-ID: CVE-2009-2468
Dostupné pre: Windows XP a Vista
Dosah: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Pri vykresľovaní dlhých textových reťazcov dochádza k pretečeniu medzipamäte haldy. Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo vykonaniu ľubovoľného kódu. Táto aktualizácia rieši tento problém vylepšenou kontrolou rozsahu. Poďakovanie za nahlásenie tohto problému si zaslúži Will Drewry (Google Inc).
ImageIO
CVE-ID: CVE-2009-2188
Dostupné pre: Windows XP a Vista
Dosah: Zobrazenie obrázka so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Pri spracúvaní metadát EXIF dochádza k pretečeniu medzipamäte. Zobrazenie obrázka so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši tento problém vylepšenou kontrolou rozsahu.
Safari
CVE-ID: CVE-2009-2196
Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows XP a Vista
Dosah: Do zobrazenia Top stránky v prehliadači Safari sa môže dostať webová stránka so škodlivým kódom
Popis: V prehliadači Safari 4 pribudla funkcia Top stránky, ktorá ponúka rýchly prehľad obľúbených webových stránok používateľa. Môže sa stať, že webová stránka so škodlivým kódom dostane pomocou automatizovaných akcií do zobrazenia Top stránky ľubovoľné stránky. To možno zneužiť na uskutočnenie phishingového útoku. Tento problém bol vyriešený tým, že sa zabránilo, aby automatizované návštevy webových stránok ovplyvňovali zoznam Top stránky. Do zoznamu Top stránky môžu byť zahrnuté iba webové stránky, ktoré používateľ navštívi manuálne. Upozorňujeme, že v prehliadači Safari je predvolene zapnutá detekcia podvodných stránok. Od uvedenia funkcie Top stránky sa podvodné stránky v zobrazení Top stránky nezobrazujú. Poďakovanie za nahlásenie tohto problému si zaslúži Inferno z tímu SecureThoughts.com.
WebKit
CVE-ID: CVE-2009-2195
Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows XP a Vista
Dosah: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Pri analýze čísel s pohyblivou rádovou čiarkou nástrojom WebKit dochádza k pretečeniu medzipamäte. Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo vykonaniu ľubovoľného kódu. Táto aktualizácia rieši tento problém vylepšenou kontrolou rozsahu. Poďakovanie patrí spoločnosti Apple.
WebKit
CVE-ID: CVE-2009-2200
Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows XP a Vista
Dosah: Návšteva webovej stránky so škodlivým kódom a kliknutie na Prejsť pri zobrazení dialógového okna pluginu so škodlivým kódom môže viesť k úniku citlivých informácií
Popis: WebKit umožňuje, aby atribút pluginspage vloženého prvku odkazoval na URL adresy „file“. Kliknutie na Prejsť v dialógovom okne, ktoré sa zobrazí, keď je pridaný odkaz na neznámy typ pluginu, bude viesť k presmerovaniu na URL adresu uvedenú v atribúte pluginspage. V dôsledku toho môže vzdialený útočník spustiť v prehliadači Safari URL adresy „file“, čo môže viesť k úniku citlivých informácií. Táto aktualizácia rieši tento problém obmedzením schémy URL adresy v atribúte pluginspage na „http“ alebo „https“. Poďakovanie za nahlásenie tohto problému si zaslúži Alexios Fakos zo spoločnosti n.runs AG.
WebKit
CVE-ID: CVE-2009-2199
Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows XP a Vista
Dosah: Podobné znaky v URL adrese by mohli byť použité na vydávanie sa za inú webovú stránku
Popis: S použitím podpory medzinárodných názvov domén IDN (International Domain Name) a písiem Unicode integrovaných v prehliadači Safari mohla byť vytvorená URL adresa obsahujúca podobné znaky. To bolo možné využiť na webovej stránke so škodlivým kódom na nasmerovanie používateľa na sfalšovanú stránku, ktorá sa vizuálne javí ako právoplatná doména. Táto aktualizácia rieši tento problém doplnením zoznamu známych podobných znakov v mechanizme WebKit. Podobné znaky sa na lište s adresou vykresľujú pomocou kódovania Punycode. Poďakovanie za nahlásenie tohto problému si zaslúži Chris Weber zo spoločnosti Casaba Security, LLC.
Dôležité: Informácie o produktoch, ktoré nevyrobila spoločnosť Apple, majú iba informačný charakter a nepredstavujú odporúčanie ani schválenie týchto produktov zo strany spoločnosti Apple. Ak potrebujete ďalšie informácie, kontaktujte príslušného dodávateľa.