Safari 3.1.1'in güvenlik içeriği hakkında

Bu belgede, Yazılım Güncelleme tercihleri aracılığıyla veya Apple İndirilenler'den indirilip yüklenebilen Safari 3.1.1'in güvenlik içeriği açıklanmaktadır.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarı'nı kullanma" başlıklı makaleye bakın.

Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.

Safari 3.1.1

Safari

CVE-ID: CVE-2007-2398

İlgili sürümler: Windows XP veya Vista

Etki: Kötü amaçlarla oluşturulmuş bir web sitesi, adres çubuğunun içeriğini kontrol edebilir.

Açıklama: Safari 3.1'deki bir zamanlama sorunu, bir web sayfasının ilgili sayfanın içeriğini yüklemeden adres çubuğunun içeriğini değiştirmesine neden olur. Bu, yasal bir sitenin içeriğini taklit etmek için kullanılabilir ve kullanıcı kimlik bilgilerinin veya diğer bilgilerin toplanmasına olanak tanır. Bu sorun, Safari Beta 3.0.2 sürümünde giderilmiş ancak Safari 3.1 sürümünde yeniden ortaya çıkmıştır. Bu güncelleme, yeni bir web sayfası isteği sonlandırıldığında adres çubuğu içeriğini geri yükleyerek sorunu giderir. Bu sorun, Mac OS X sistemlerini etkilemez.

Safari

CVE-ID: CVE-2008-1024

İlgili sürümler: Windows XP veya Vista

Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir.

Açıklama: Safari'nin dosya indirme işleminde bir bellek bozulması sorunu var. Bir saldırgan, kullanıcıyı kötü amaçlarla oluşturulmuş bir adı olan dosyayı indirmeye teşvik ederek uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, dosya indirme işlemlerinin işlenmesini iyileştirerek sorunu giderir. Bu sorun, Mac OS X sistemlerini etkilemez.

WebKit

CVE-ID: CVE-2008-1025

İlgili sürümler: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.2, Mac OS X Server 10.5.2, Windows XP veya Vista

Etki: Kötü amaçlı bir web sitesini ziyaret etmek, siteler arası betik kullanımına neden olabilir.

Açıklama: WebKit'te, sunucu adında iki nokta karakterini içeren URL'lerin işlenmesinde bir sorun var. Kötü amaçla oluşturulmuş bir URL'yi açmak, siteler arası betik saldırısına neden olabilir. Bu güncelleme, URL'lerin işlenmesini iyileştirerek sorunu giderir. Bu sorunu bildirdikleri için David Bloom'a ve Google Bilgi Güvenliği Ekibi'nden Robert Swiecki'ye teşekkür ederiz.

WebKit

CVE-ID: CVE-2008-1026

İlgili sürümler: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.2, Mac OS X Server 10.5.2, Windows XP veya Vista

Etki: Kötü amaçlarla oluşturulmuş bir web sayfasını görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir.

Açıklama: WebKit'te, JavaScript'in kurallı ifadelerinin işlenmesinde bir yığın arabellek taşması sorunu var. Büyük, iç içe yineleme sayımlarına sahip olan kurallı ifadeler işlenirken sorun, JavaScript aracılığıyla tetiklenebilir. Bu, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, JavaScript'in kurallı ifadeleri için ek doğrulama gerçekleştirerek sorunu giderir. Bu sorunu bildirdikleri için TippingPoint'in Zero Day Initiative programından Charlie Miller, Jake Honoroff ve Mark Daniel'e teşekkür ederiz.