บทความนี้ถูกเก็บถาวรและไม่ได้รับการอัพเดทจาก Apple อีกต่อไป

เกี่ยวกับเนื้อหาด้านความปลอดภัยของ Safari 4.0.5

เอกสารฉบับนี้อธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ Safari 4.0.5

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบแบบเต็มรูปแบบ และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่การรักษาความปลอดภัยของผลิตภัณฑ์ Apple ในเว็บไซต์

ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ที่ "วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้

ดูเกี่ยวกับรายการอัปเดตความปลอดภัยอื่นๆ ได้ที่ "รายการอัปเดตความปลอดภัยของ Apple"

Safari 4.0.5

  • ColorSync

    CVE-ID: CVE-2010-0040

    มีให้สำหรับ: Windows 7, Vista, XP

    ผลกระทบ: การดูภาพที่มีการฝังโปรไฟล์สีซึ่งออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

    คำอธิบาย: พบ Integer Overflow ซึ่งอาจส่งผลให้เกิด Heap Buffer Overflow เมื่อจัดการกับภาพที่มีการฝังโปรไฟล์สี ด้วยเหตุนี้การเปิดภาพที่มีการฝังโปรไฟล์สีซึ่งออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ ปัญหานี้ได้รับการแก้ไขโดยการตรวจสอบความถูกต้องของโปรไฟล์สีเพิ่มเติม แต่ปัญหานี้ไม่ส่งผลกระทบต่อระบบ Mac OS X ขอบคุณ Sebastien Renaud จาก VUPEN Vulnerability Research Team ที่รายงานปัญหานี้

  • ImageIO

    CVE-ID: CVE-2009-2285

    มีให้สำหรับ: Windows 7, Vista, XP

    ผลกระทบ: การดูภาพ TIFF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

    คำอธิบาย: พบ Buffer Underflow เมื่อ ImageIO จัดการภาพ TIFF ด้วยเหตุนี้การดูภาพ TIFF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ ปัญหานี้ได้รับการแก้ไขโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น สำหรับระบบ Mac OS X v10.6 ปัญหานี้ได้รับการแก้ไขแล้วใน Mac OS X v10.6.2 และสำหรับระบบ Mac OS X v10.5 ปัญหานี้ได้รับการแก้ไขแล้วในรายการอัปเดตความปลอดภัย 2010-001

  • ImageIO

    CVE-ID: CVE-2010-0041

    มีให้สำหรับ: Windows 7, Vista, XP

    ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งข้อมูลจากหน่วยความจำของ Safari ไปยังเว็บไซต์นั้น

    คำอธิบาย: พบปัญหา Uninitialized Memory Access ใน ImageIO เมื่อจัดการกับภาพ BMP ด้วยเหตุนี้การเยี่ยมชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งข้อมูลจากหน่วยความจำของ Safari ไปยังเว็บไซต์นั้น ปัญหานี้ได้รับการแก้ไขโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้นและตรวจสอบความถูกต้องของภาพ BMP เพิ่มเติม ขอบคุณ Matthew 'j00ru' Jurczyk จาก Hispasec ที่รายงานปัญหานี้

  • ImageIO

    CVE-ID: CVE-2010-0042

    มีให้สำหรับ: Windows 7, Vista, XP

    ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งข้อมูลจากหน่วยความจำของ Safari ไปยังเว็บไซต์นั้น

    คำอธิบาย: พบปัญหา Uninitialized Memory Access ใน ImageIO เมื่อจัดการกับภาพ TIFF ด้วยเหตุนี้การเยี่ยมชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการส่งข้อมูลจากหน่วยความจำของ Safari ไปยังเว็บไซต์นั้น ปัญหานี้ได้รับการแก้ไขโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้นและตรวจสอบความถูกต้องของภาพ TIFF เพิ่มเติม ขอบคุณ Matthew 'j00ru' Jurczyk จาก Hispasec ที่รายงานปัญหานี้

  • ImageIO

    CVE-ID: CVE-2010-0043

    มีให้สำหรับ: Windows 7, Vista, XP

    ผลกระทบ: การประมวลผลภาพ TIFF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

    คำอธิบาย: พบปัญหาหน่วยความจำเสียหายเมื่อจัดการกับภาพ TIFF ด้วยเหตุนี้การประมวลผลภาพ TIFF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ ปัญหานี้ได้รับการแก้ไขโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น ขอบคุณ Gus Mueller จาก Flying Meat ที่รายงานปัญหานี้

  • PubSub

    CVE-ID: CVE-2010-0044

    มีให้สำหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 หรือใหม่กว่า, Mac OS X Server v10.6.1 หรือใหม่กว่า, Windows 7, Vista, XP

    ผลกระทบ: การเยี่ยมชมหรืออัปเดตฟีดอาจทำให้มีการตั้งค่าคุกกี้ ถึงแม้ว่า Safari จะกำหนดค่าไว้ให้บล็อคคุกกี้ก็ตาม

    คำอธิบาย: พบปัญหาในการปรับใช้เมื่อจัดการกับคุกกี้ที่วางไว้โดยฟีดแบบ RSS และ Atom ด้วยเหตนี้การเยี่ยมชมหรืออัปเดตฟีดอาจทำให้มีการวางคุกกี้ ถึงแม้ว่าการตั้งค่า "ยอมรับคุกกี้" ใน Safari จะกำหนดค่าไว้ให้บล็อคคุกกี้ก็ตาม ปัญหานี้ได้รับการแก้ไขโดยการเคารพการตั้งค่าในขณะที่อัปเดตหรือดูฟีด

  • Safari

    CVE-ID: CVE-2010-0045

    มีให้สำหรับ: Windows 7, Vista, XP

    ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการรันโค้ดโดยพลการ

    คำอธิบาย: พบปัญหาใน Safari เมื่อจัดการกับส่วนต้นของ URL ภายนอก ซึ่งอาจทำให้ไฟล์ภายในเครื่องถูกเปิดขึ้นเมื่อพบ URL หนึ่งบนหน้าเว็บ ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการรันโค้ดโดยพลการ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการปรับปรุงการตรวจสอบความถูกต้องของ URL ภายนอกให้ดียิ่งขึ้น แต่ปัญหานี้ไม่ส่งผลกระทบต่อระบบ Mac OS X ขอบคุณ Billy Rios และ Microsoft Vulnerability Research (MSVR) ที่รายงานปัญหานี้

  • WebKit

    CVE-ID: CVE-2010-0046

    มีให้สำหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 หรือใหม่กว่า, Mac OS X Server v10.6.1 หรือใหม่กว่า, Windows 7, Vista, XP

    ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

    คำอธิบาย: พบปัญหาหน่วยความจำเสียหายใน WebKit เมื่อจัดการกับอาร์กิวเมนต์ format() ของ CSS ด้วยเหตุนี้การเยี่ยมชมเว็บไซต์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ ปัญหานี้ได้รับการแก้ไขโดยการปรับปรุงการจัดการอาร์กิวเมนต์ format() ของ CSS ให้ดียิ่งขึ้น ขอขอบคุณ Robert Swiecki จาก Google Inc. ที่รายงานปัญหานี้

  • WebKit

    CVE-ID: CVE-2010-0047

    มีให้สำหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 หรือใหม่กว่า, Mac OS X Server v10.6.1 หรือใหม่กว่า, Windows 7, Vista, XP

    ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

    คำอธิบาย: พบปัญหา Use-After-Free เมื่อจัดการกับคอนเทนต์สำหรับการ Fallback ที่เป็นองค์ประกอบวัตถุ HTML ด้วยเหตุนี้การเยี่ยมชมเว็บไซต์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ ปัญหานี้ได้รับการแก้ไขโดยการปรับปรุงการติดตามการอ้างอิงหน่วยความจำให้ดียิ่งขึ้น ขอบคุณ wushi จาก team509 ซึ่งทำงานร่วมกับ Zero Day Initiative ของ TippingPoint ที่รายงานปัญหานี้

  • WebKit

    CVE-ID: CVE-2010-0048

    มีให้สำหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 หรือใหม่กว่า, Mac OS X Server v10.6.1 หรือใหม่กว่า, Windows 7, Vista, XP

    ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

    คำอธิบาย: พบปัญหา Use-After-Free ใน WebKit เมื่อแยกวิเคราะห์เอกสาร XML ด้วยเหตุนี้การเยี่ยมชมเว็บไซต์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ ปัญหานี้ได้รับการแก้ไขโดยการปรับปรุงการติดตามการอ้างอิงหน่วยความจำให้ดียิ่งขึ้น ขอบคุณ wushi จาก team509 ซึ่งทำงานร่วมกับ Zero Day Initiative ของ TippingPoint ที่รายงานปัญหานี้

  • WebKit

    CVE-ID: CVE-2010-0049

    มีให้สำหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 หรือใหม่กว่า, Mac OS X Server v10.6.1 หรือใหม่กว่า, Windows 7, Vista, XP

    ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

    คำอธิบาย: พบปัญหา Use-After-Free เมื่อจัดการกับองค์ประกอบ HTML ที่มีข้อความที่แสดงแบบขวาไปซ้าย ด้วยเหตุนี้การเยี่ยมชมเว็บไซต์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ ปัญหานี้ได้รับการแก้ไขโดยการปรับปรุงการติดตามการอ้างอิงหน่วยความจำให้ดียิ่งขึ้น ขอบคุณ wushi จาก team509 ซึ่งทำงานร่วมกับ Zero Day Initiative ของ TippingPoint ที่รายงานปัญหานี้

  • WebKit

    CVE-ID: CVE-2010-0050

    มีให้สำหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 หรือใหม่กว่า, Mac OS X Server v10.6.1 หรือใหม่กว่า, Windows 7, Vista, XP

    ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

    คำอธิบาย: พบปัญหา Use-After-Free ใน WebKit เมื่อจัดการกับแท็ก HTML ที่ซ้อนกันแบบไม่ถูกต้อง ด้วยเหตุนี้การเยี่ยมชมเว็บไซต์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ ปัญหานี้ได้รับการแก้ไขโดยการปรับปรุงการติดตามการอ้างอิงหน่วยความจำให้ดียิ่งขึ้น ขอบคุณ wushi จาก team509 ซึ่งทำงานร่วมกับ Zero Day Initiative ของ TippingPoint ที่รายงานปัญหานี้

  • WebKit

    CVE-ID: CVE-2010-0051

    มีให้สำหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 หรือใหม่กว่า, Mac OS X Server v10.6.1 หรือใหม่กว่า, Windows 7, Vista, XP

    ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการเปิดเผยข้อมูลละเอียดอ่อน

    คำอธิบาย: พบปัญหากับการปรับใช้ใน WebKit เมื่อจัดการกับคำขอสไตล์ชีตแบบข้ามต้นทาง ด้วยเหตุนี้การเยี่ยมชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการเปิดเผยเนื้อหาของแหล่งข้อมูลที่ได้รับการปกป้องในอีกเว็บไซต์หนึ่ง รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการตรวจสอบความถูกต้องเพิ่มเติมกับสไตล์ชีตที่โหลดในระหว่างคำขอแบบข้ามต้นทาง

  • WebKit

    CVE-ID: CVE-2010-0052

    มีให้สำหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 หรือใหม่กว่า, Mac OS X Server v10.6.1 หรือใหม่กว่า, Windows 7, Vista, XP

    ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

    คำอธิบาย: พบปัญหา Use-After-Free ใน WebKit เมื่อจัดการกับ Callback สำหรับองค์ประกอบ HTML ด้วยเหตุนี้การเยี่ยมชมเว็บไซต์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ ปัญหานี้ได้รับการแก้ไขโดยการปรับปรุงการติดตามการอ้างอิงหน่วยความจำให้ดียิ่งขึ้น ขอขอบคุณ Apple

  • WebKit

    CVE-ID: CVE-2010-0053

    มีให้สำหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 หรือใหม่กว่า, Mac OS X Server v10.6.1 หรือใหม่กว่า, Windows 7, Vista, XP

    ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

    คำอธิบาย: พบปัญหา Use-After-Free เมื่อเรนเดอร์คอนเทนต์ที่มีการตั้งคุณสมบัติการแสดงผล CSS เป็น 'run-in' ด้วยเหตุนี้การเยี่ยมชมเว็บไซต์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ ปัญหานี้ได้รับการแก้ไขโดยการปรับปรุงการติดตามการอ้างอิงหน่วยความจำให้ดียิ่งขึ้น ขอบคุณ wushi จาก team509 ซึ่งทำงานร่วมกับ Zero Day Initiative ของ TippingPoint ที่รายงานปัญหานี้

  • WebKit

    CVE-ID: CVE-2010-0054

    มีให้สำหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 หรือใหม่กว่า, Mac OS X Server v10.6.1 หรือใหม่กว่า, Windows 7, Vista, XP

    ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

    คำอธิบาย: พบปัญหา Use-After-Free ใน WebKit เมื่อจัดการกับองค์ประกอบภาพ HTML ด้วยเหตุนี้การเยี่ยมชมเว็บไซต์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ ปัญหานี้ได้รับการแก้ไขโดยการปรับปรุงการติดตามการอ้างอิงหน่วยความจำให้ดียิ่งขึ้น ขอขอบคุณ Apple

สำคัญ: ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ Apple ไม่ได้ผลิตขึ้นมีไว้เพื่อแจ้งให้ทราบเท่านั้น และไม่ถือเป็นการแนะนำหรือการรับรองของ Apple แต่อย่างใด โปรดติดต่อผู้จำหน่ายเพื่อสอบถามข้อมูลเพิ่มเติม

วันที่เผยแพร่: