Informácie o obsahu zabezpečenia v prehliadači Safari 4.0.4

V tomto dokumente sa opisuje obsah zabezpečenia v prehliadači Safari 4.0.4.

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku „Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple“.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku „Aktualizácie zabezpečenia od spoločnosti Apple“.

Safari 4.0.4

• ColorSync

  CVE-ID: CVE-2009-2804

  Dostupné pre: Windows 7, Vista, XP

  Dopad: Zobrazenie obrázka so škodlivým kódom s integrovaným farebným profilom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu.

  Popis: Pri spracovaní obrázkov s vloženým farebným profilom existuje pretečenie celého čísla, ktoré môže viesť k pretečeniu vyrovnávacej pamäte haldy. Otvorenie obrázka s integrovaným farebným profilom so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Problém sa rieši vykonaním dodatočného overenia farebných profilov. Tento problém sa netýka systémov Mac OS X 10.6. Tento problém bol už vyriešený v aktualizácii zabezpečenia 2009-005 pre systémy Mac OS X 10.5.8. Poďakovanie patrí spoločnosti Apple.

• libxml

  CVE-ID: CVE-2009-2414, CVE-2009-2416

  Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Windows 7, Vista, XP

  Dopad: Analýza obsahu XML so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie.

  Popis: V komponente libxml2 dochádza k viacerým problémom s použitím po uvoľnení, z ktorých najzávažnejší môže viesť k neočakávanému ukončeniu aplikácie. Táto aktualizácia rieši tieto problémy vylepšeným spracovaním obsahu pamäte. Tento problém bol už vyriešený v systéme Mac OS X 10.6.2 a v aktualizácii zabezpečenia 2009-006 pre systémy Mac OS X 10.5.8.

• Safari

  CVE-ID: CVE-2009-2842

  Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 a 10.6.2, Mac OS X Server 10.6.1 and 10.6.2, Windows 7, Vista, XP

  Dopad: Použitie možností kontextového menu na webovej stránke so škodlivým kódom môže viesť k úniku lokálnych údajov.

  Popis: Pri spracovaní navigačných úkonov iniciovaných možnosťami kontextového menu „Otvoriť obrázok na novej karte“, Otvoriť obrázok v novom okne“ alebo „Otvoriť odkaz na novej karte“ v prehliadači Safari dochádza k problému. Pri použití týchto možností na webovej stránke so škodlivým kódom môže dôjsť k načítaniu lokálneho súboru HTML a k následnému úniku citlivých údajov. Tento problém bol vyriešený deaktiváciou týchto možností kontextového menu, keď odkaz smeruje na lokálny súbor.

• WebKit

  CVE-ID: CVE-2009-2816

  Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 a 10.6.2, Mac OS X Server 10.6.1 a 10.6.2, Windows 7, Vista, XP

  Dopad: Pri návšteve webovej stránky so škodlivým kódom môže dôjsť k neočakávaným úkonom na iných webových stránkach.

  Popis: V jadre WebKit sa vyskytuje problém s implementáciou zdieľania prostriedkov s rôznym pôvodom. Keď sa má stránke na jednom serveri povoliť prístup k prostriedku na inom serveri, WebKit najprv odošle na druhý server predbežnú požiadavku na prístup k danému prostriedku. Do predbežnej požiadavky WebKit zahrnie prispôsobené hlavičky HTTP špecifikované žiadajúcou stránkou. To môže uľahčiť falšovanie požiadaviek posielaných medzi lokalitami. Tento problém bol vyriešený odstránením vlastných hlavičiek HTTP z predbežných požiadaviek. Poďakovanie patrí spoločnosti Apple.

• WebKit

  CVE-ID: CVE-2009-3384

  Dostupné pre: Windows 7, Vista, XP

  Dopad: Prístup na FTP server so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie, úniku informácií alebo spusteniu ľubovoľného kódu.

  Popis: V jadre WebKit existuje pri spracovaní zoznamov FTP adresárov viacero zraniteľných miest. Prístup na FTP server so škodlivým kódom môže viesť k úniku informácií, neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši tieto problémy vylepšením analýzy zoznamov FTP adresárov. Tieto problémy sa netýkajú prehliadača Safari v systémoch Mac OS X. Poďakovanie za nahlásenie tohto problému patrí Michalovi Zalewskému zo spoločnosti Google Inc.

• WebKit

  CVE-ID: CVE-2009-2841

  Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 a 10.6.2, Mac OS X Server 10.6.1 a 10.6.2

  Dopad: Aplikácia Mail môže načítať vzdialený zvukový alebo obrazový obsah, aj keď je načítavanie vzdialených obrázkov zakázané.

  Popis: Keď WebKit narazí na mediálny prvok HTML 5, ktorý odkazuje na vonkajší zdroj, nevydá spätné volanie, ktorým by si určilo, či sa daný prostriedok má načítať. To môže viesť k odoslaniu nežiaducich požiadaviek na vzdialené servery. Napríklad odosielateľ e-mailu vo formáte HTML tak môže zistiť, či bola správa prečítaná. Tento problém bol vyriešený zavedením generovania spätných volaní, keď WebKit narazí na mediálny prvok HTML 5. Tento problém sa netýka prehliadača Safari v systémoch Windows.