Safari 4.0.3'ün güvenlik içeriği hakkında

Bu belgede Safari 4.0.3'ün güvenlik içeriği açıklanmaktadır.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarı'nı kullanma" başlıklı makaleye bakın.

Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.

Safari 4.0.3

• CoreGraphics

  CVE-ID: CVE-2009-2468

  İlgili sürümler: Windows XP ve Vista

  Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

  Açıklama: Uzun metin dizelerinin çiziminde bir yığın arabellek taşması sorunu var. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, sınır denetimini iyileştirerek sorunu giderir. Google Inc. şirketinden Will Drewry'ye bu sorunu bildirdiği için teşekkür ederiz.

• ImageIO

  CVE-ID: CVE-2009-2188

  İlgili sürümler: Windows XP ve Vista

  Etki: Kötü amaçlarla oluşturulmuş bir görüntü dosyasını görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

  Açıklama: PICT görüntülerinin işlenmesinde bir arabellek taşması sorunu var. Kötü amaçlarla oluşturulmuş bir resmi görüntülemek, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, sınır denetimini iyileştirerek sorunu giderir.

• Safari

  CVE-ID: CVE-2009-2196

  İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows XP ve Vista

  Etki: Kötü amaçlarla oluşturulmuş bir web sitesi, Safari'nin Popüler Siteler görünümüne yükseltilebilir

  Açıklama: Safari 4, kullanıcının favori web sitelerinin bir bakışta görülebilmesini sağlayan Popüler Siteler özelliğini kullanıma sundu. Kötü amaçlı bir web sitesinin, otomatik işlemler yoluyla rastgele siteleri Popüler Siteler görünümüne yükseltmesi mümkün olabilir. Bu, bir kimlik hırsızlığı saldırısını kolaylaştırmak için kullanılabilir. Otomatik web sitesi ziyaretlerinin Popüler Siteler listesini etkilemesi engellenerek bu sorun giderildi. Popüler Siteler listesine, yalnızca kullanıcının manuel olarak ziyaret ettiği web siteleri eklenebilir. Bir not olarak, Safari, sahte site algılamayı varsayılan olarak etkinleştirir. Popüler Siteler özelliğinin kullanıma sunulmasından bu yana, sahtekarlık amaçlı siteler Popüler Siteler görünümünde gösterilmemektedir. Bu sorunu bildirdiği için Inferno of SecureThoughts.com'a teşekkür ederiz.

• WebKit

  CVE-ID: CVE-2009-2195

  İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows XP ve Vista

  Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

  Açıklama: WebKit'in kayan noktaları ayrıştırmasında bir ara bellek taşması sorunu var. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, sınır denetimini iyileştirerek sorunu giderir. Teşekkür: Apple.

• WebKit

  CVE-ID: CVE-2009-2200

  İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows XP ve Vista

  Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek ve kötü amaçlı bir yazılım eki iletişim kutusunu görüntülerken "Git"e tıklamak, hassas bilgilerin açığa çıkmasına yol açabilir

  Açıklama: WebKit, 'embed' öğesindeki pluginspage özelliğinin dosya URL'lerine referans vermesine izin veriyor. Bilinmeyen bir yazılım eki türüne referans verildiğinde görüntülenen iletişim kutusunda "Git"i tıklamak, pluginspage özelliğinde listelenen URL'ye yönlendirir. Bu, uzaktaki bir saldırganın Safari'de dosya URL'lerini başlatmasına ve hassas bilgilerin açığa çıkmasına neden olabilir. Bu güncelleme, pluginspage URL şemasını http veya https ile sınırlayarak bu sorunu giderir. Bu sorunu bildirdiği için n.runs AG'den Alexios Fakos'a teşekkür ederiz.

• WebKit

  CVE-ID: CVE-2009-2199

  İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows XP ve Vista

  Etki: Bir URL'deki benzer karakterler, bir web sitesini maskelemek için kullanılabilir

  Açıklama: Uluslararası Alan Adı (IDN) desteği ve Safari'de gömülü olarak bulunan Unicode yazı tipleri, benzer karakterler içeren bir URL oluşturmak için kullanılabilir. Bunlar, kullanıcıyı meşru bir etki alanı gibi görünen sahte bir siteye yönlendirmek için kötü amaçlı bir web sitesinde kullanılabilir. Bu güncelleme, WebKit'in bilinen benzer karakterler listesini genişleterek bu sorunu giderir. Benzer karakterler, adres çubuğunda Punycode ile işlenir. Bu sorunu bildirdiği için Casaba Security, LLC şirketinden Chris Weber'a teşekkür ederiz.