Safari 3.2'nin güvenlik içeriği hakkında

Bu belgede Safari 3.2'nin güvenlik içeriği açıklanmaktadır.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarı'nı kullanma" başlıklı makaleye bakın.

Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.

Safari 3.2

  • Safari

    CVE-ID: CVE-2005-2096

    İlgili sürüm: Windows XP veya Vista

    Etki: zlib 1.2.2'de birden fazla güvenlik açığı

    Açıklama: zlib 1.2.2'de birden fazla güvenlik açığı var. Bunlardan en önemlisi, servis reddine neden olabilir. Bu güncelleme, zlib'i 1.2.3 sürümüne güncelleyerek bu sorunları giderir. Mac OS X sistemleri bu sorunlardan etkilenmez. Bu sorunu bildirdikleri için bioinformatics@school'dan Robbie Joosten ve Birmingham'daki Alabama Üniversitesi'nden David Gunnells'a teşekkür ederiz.

  • Safari

    CVE-ID: CVE-2008-1767

    İlgili sürümler: Windows XP veya Vista

    Etki: Bir XML belgesinin işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: libxslt kitaplığında bir ara bellek taşması sorunu var. Kötü amaçlarla oluşturulmuş bir HTML sayfasını görüntülemek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Yama hakkında daha fazla bilgiye şu sayfadan ulaşılabilir: http://xmlsoft.org/XSLT/ Güvenlik Güncellemesi 2008-007'nin uygulandığı Mac OS X sistemleri bu sorundan etkilenmez. Bu sorunu bildirdikleri için Outpost24 AB'den Anthony de Almeida Lopes ve Google Güvenlik Ekibi'nden Chris Evans'a teşekkür ederiz.

  • Safari

    CVE-ID: CVE-2008-3623

    İlgili sürümler: Windows XP veya Vista

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: CoreGraphics'in renk alanlarını işlemesinde bir yığın arabellek taşması sorunu var. Kötü amaçlarla oluşturulmuş bir resmi görüntülemek, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, sınır denetimini iyileştirerek sorunu giderir. Teşekkür: Apple.

  • Safari

    CVE-ID: CVE-2008-2327

    İlgili sürümler: Windows XP veya Vista

    Etki: Kötü amaçlarla oluşturulmuş bir TIFF görüntü dosyasını görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir.

    Açıklama: libTIFF'in LZW kodlu TIFF görüntülerini işlemesinde birden fazla ilklendirilmemiş bellek erişimi sorunu var. Kötü amaçlarla oluşturulmuş bir TIFF resmini görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, uygun bellek ilklendirmesi ve TIFF görüntüleri için ek doğrulama ile bu sorunu giderir. Mac OS X v10.5.5 veya sonraki sürümlerin yüklü olduğu sistemler ve Güvenlik Güncellemesi 2008-006'nın uygulandığı Mac OS X v10.4.11 sistemleri bu sorundan etkilenmez. Teşekkür: Apple.

  • Safari

    CVE-ID: CVE-2008-2332

    İlgili sürümler: Windows XP veya Vista

    Etki: Kötü amaçlarla oluşturulmuş bir TIFF görüntü dosyasını görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: ImageIO'nun TIFF görüntülerini işlemesinde bir bellek bozulması sorunu var. Kötü amaçlarla oluşturulmuş bir TIFF resmini görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, TIFF görüntülerinin işlenmesini iyileştirerek sorunu giderir. Mac OS X v10.5.5 veya sonraki sürümlerin yüklü olduğu sistemler ve Güvenlik Güncellemesi 2008-006'nın uygulandığı Mac OS X v10.4.11 sistemleri bu sorundan etkilenmez. Bu sorunu bildirdiği için Google Güvenlik Ekibi'nden Robert Swiecki'ye teşekkür ederiz.

  • Safari

    CVE-ID: CVE-2008-3608

    İlgili sürümler: Windows XP veya Vista

    Etki: Kötü amaçlarla oluşturulmuş büyük bir JPEG görüntü dosyasını görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: ImageIO'nun JPEG görüntülerindeki gömülü ICC profillerini işlemesinde bir bellek bozulması sorunu var. Kötü amaçlarla oluşturulmuş büyük bir JPEG görüntü dosyasını görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, ICC profillerinin işlenmesini iyileştirerek sorunu giderir. Mac OS X v10.5.5 veya sonraki sürümlerin yüklü olduğu sistemler ve Güvenlik Güncellemesi 2008-006'nın uygulandığı Mac OS X v10.4.11 sistemleri bu sorundan etkilenmez. Teşekkür: Apple.

  • Safari

    CVE-ID: CVE-2008-3642

    İlgili sürümler: Windows XP veya Vista

    Etki: Kötü amaçlarla oluşturulmuş bir görüntü dosyasını görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Gömülü ICC profillerine sahip görüntülerin işlenmesinde bir arabellek taşması sorunu var. Kötü amaçlarla oluşturulmuş gömülü ICC profiline sahip bir görüntüyü açmak, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, ICC profilleri için ek doğrulama gerçekleştirerek sorunu giderir. Bu sorun, Güvenlik Güncellemesi 2008-007'nin uygulandığı Mac OS X sistemlerini etkilemez. Teşekkür: Apple.

  • Safari

    CVE-ID: CVE-2008-3644

    İlgili sürümler: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP veya Vista

    Etki: Hassas bilgiler, yerel bir konsol kullanıcısına gösterilebilir

    Açıklama: Bir form alanında otomatik tamamlamanın devre dışı bırakılması, alandaki verilerin tarayıcı sayfası önbelleğinde saklanmasını engellemeyebilir. Bu durum, hassas bilgilerin yerel bir kullanıcıya gösterilmesine neden olabilir. Bu güncelleme, form verilerini uygun şekilde temizleyerek bu sorunu giderir. Bu sorunu bildirdiği için anonim bir araştırmacıya teşekkür ederiz.

  • WebKit

    CVE-ID: CVE-2008-2303

    İlgili sürümler: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP veya Vista

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Safari'nin JavaScript dizisi işaretlerini işlemesindeki bir işaret sorunu sınırların dışında bellek erişimiyle sonuçlanabilir. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, JavaScript dizisi işaretleri için ek doğrulama gerçekleştirerek sorunu giderir. Bu sorunu bildirdiği için Google'dan SkyLined'a teşekkür ederiz.

  • WebKit

    CVE-ID: CVE-2008-2317

    İlgili sürümler: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP veya Vista

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: WebCore'un stil sayfası öğelerini işlemesinde bir bellek bozulması sorunu var. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, kötü girdilerin toplanmasını iyileştirerek sorunu giderir. Bu sorunu bildirdiği için TippingPoint Zero Day Initiative programıyla çalışan anonim bir araştırmacıya teşekkür ederiz.

  • WebKit

    CVE-ID: CVE-2008-4216

    İlgili sürümler: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP veya Vista

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek hassas bilgilerin ortaya çıkmasına neden olabilir

    Açıklama: WebKit'in yazılım eki arabirimi, yazılım eklerinin yerel URL'leri başlatmasını engellemiyor. Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek uzaktaki bir saldırganın Safari'de yerel dosyaları başlatmasına izin verebilir ve bu da hassas bilgilerin açığa çıkmasına neden olabilir. Bu güncelleme, yazılım eki arabirimiyle başlatılabilecek URL türlerini kısıtlayarak bu sorunu giderir. Bu sorunu bildirdikleri için Microsoft'tan Billy Rios'a ve Ernst & Young'dan Nitesh Dhanjani'ye teşekkür ederiz.

Önemli: Üçüncü taraf web siteleri ve ürünlerinden yalnızca bilgi vermek amacıyla bahsedilmektedir ve bu herhangi bir onay veya öneri niteliği taşımaz. Apple, üçüncü taraf web sitelerinde bulunan ürünlerin seçilmesi, performansı veya kullanılması ya da bu sitelerde yer alan bilgilerin kullanılması konusunda hiçbir sorumluluk kabul etmez. Apple, bu bilgileri yalnızca kullanıcılarına kolaylık sağlamak amacıyla sunmaktadır. Apple, bu sitelerde bulunan bilgileri test etmemiştir ve bunların doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. İnternette bulunan herhangi bir bilgi veya ürünün kullanılması çeşitli riskler içerir ve Apple bu konuda hiçbir sorumluluk üstlenmez. Lütfen üçüncü taraf web sitelerinin Apple'dan bağımsız olduğunu ve Apple'ın bu sitelerdeki içerik üzerinde hiçbir denetimi olmadığını unutmayın. Ek bilgi için lütfen tedarikçiyle irtibata geçin.

Yayın Tarihi: