เกี่ยวกับเนื้อหาความปลอดภัยของ Safari 5.0.2 และ Safari 4.1.2

เอกสารฉบับนี้อธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ Safari 5.0.2 และ Safari 4.1.2

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบแบบเต็มรูปแบบ และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่การรักษาความปลอดภัยของผลิตภัณฑ์ Apple ในเว็บไซต์

ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ที่ "วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้

หากต้องการเรียนรู้เกี่ยวกับรายการอัปเดตความปลอดภัยอื่นๆ โปรดดู "รายการอัปเดตความปลอดภัยของ Apple"

Safari 5.0.2 และ Safari 4.1.2

  • Safari

    CVE-ID: CVE-2010-1805

    มีให้สำหรับ: Windows 7, Vista, XP SP2 หรือใหม่กว่า

    ผลกระทบ: การเปิดไฟล์ในไดเรกทอรีที่ผู้ใช้รายอื่นสามารถเขียนได้อาจทำให้มีการรันโค้ดโดยพลการ

    คำอธิบาย: มีปัญหาเส้นทางการค้นหาใน Safari เมื่อแสดงตำแหน่งของไฟล์ที่ดาวน์โหลด Safari จะเปิด Windows Explorer โดยไม่ระบุเส้นทางแบบเต็มไปยังไฟล์ปฏิบัติการ การเปิดใช้งาน Safari โดยการเปิดไฟล์ในไดเรกทอรีที่เฉพาะเจาะจงจะรวมไดเรกทอรีนั้นไว้ในเส้นทางการค้นหา การพยายามเปิดเผยตำแหน่งของไฟล์ที่ดาวน์โหลดอาจเป็นการเรียกใช้งานแอปพลิเคชันที่อยู่ในไดเรกทอรีนั้น ซึ่งอาจนำไปสู่การรันโค้ดโดยพลการ ปัญหานี้ได้รับการแก้ไขโดยการใช้เส้นทางการค้นหาที่ชัดเจนเมื่อเปิด Windows Explorer แต่ปัญหานี้ไม่ส่งผลกระทบต่อระบบ Mac OS X ขอบคุณ Simon Raner จาก ACROS Security ที่รายงานปัญหานี้

  • WebKit

    CVE-ID: CVE-2010-1807

    มีให้สำหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 หรือใหม่กว่า, Mac OS X Server v10.6.2 หรือใหม่กว่า, Windows 7, Vista, XP SP2 หรือใหม่กว่า

    ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

    คำอธิบาย: พบปัญหาการตรวจสอบอินพุตเมื่อจัดการกับประเภทข้อมูลจุดทศนิยมของ WebKit ด้วยเหตุนี้การเยี่ยมชมเว็บไซต์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ ปัญหานี้ได้รับการแก้ไขโดยการปรับปรุงการตรวจสอบค่าจุดทศนิยมให้ดียิ่งขึ้น ขอขอบคุณ Luke Wagner จาก Mozilla ที่รายงานปัญหานี้

  • WebKit

    CVE-ID: CVE-2010-1806

    มีให้สำหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 หรือใหม่กว่า, Mac OS X Server v10.6.2 หรือใหม่กว่า, Windows 7, Vista, XP SP2 หรือใหม่กว่า

    ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

    คำอธิบาย: มีปัญหา Use-after-free เมื่อจัดการกับองค์ประกอบต่างๆ ของ WebKit ด้วยการใช้สไตล์แบบ Run-in ด้วยเหตุนี้การเยี่ยมชมเว็บไซต์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ ปัญหานี้ได้รับการแก้ไขโดยการปรับปรุงการจัดการตัวชี้ให้ดียิ่งขึ้น ขอบคุณ wushi จาก team509 ซึ่งทำงานร่วมกับ Zero Day Initiative ของ TippingPoint ที่รายงานปัญหานี้

สำคัญ: ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ Apple ไม่ได้ผลิตขึ้นมีไว้เพื่อแจ้งให้ทราบเท่านั้น และไม่ถือเป็นการแนะนำหรือการรับรองของ Apple แต่อย่างใด โปรดติดต่อผู้จำหน่ายเพื่อสอบถามข้อมูลเพิ่มเติม

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: