Safari 4.0.4'ün güvenlik içeriği hakkında

Bu belgede Safari 4.0.4'ün güvenlik içeriği açıklanmaktadır.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarı'nı kullanma" başlıklı makaleye bakın.

Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.

Safari 4.0.4

• ColorSync

  CVE-ID: CVE-2009-2804

  İlgili sürümler: Windows 7, Vista, XP

  Etki: Kötü amaçlarla oluşturulmuş bir resmi görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

  Açıklama: Gömülü renk profiline sahip resimlerin işlenmesinde bir tam sayı taşması sorunu vardır. Bu sorun, yığın arabellek taşmasına neden olabilir. Kötü amaçlarla oluşturulmuş gömülü renk profiline sahip bir resmi açmak, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir. Bu sorun, renk profillerinde ek doğrulama yapılarak giderilmiştir. Bu sorun, Mac OS X v10.6 sistemlerini etkilemez. Bu sorun, Mac OS X 10.5.8 sistemlerinde Güvenlik Güncellemesi 2009-005'te giderilmiştir. Teşekkür: Apple.

• libxml

  CVE-ID: CVE-2009-2414, CVE-2009-2416

  İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Windows 7, Vista, XP

  Etki: Kötü amaçlı olarak oluşturulmuş XML içeriğini ayrıştırmak, uygulamanın beklenmedik bir şekilde sonlanmasına neden olabilir

  Açıklama: libxml2'de boşaltılan belleğin kullanılmasıyla ilgili birden fazla sorun vardır. Bunlardan en önemlisi, uygulamanın beklenmedik bir şekilde sonlanmasına neden olabilir. Bu güncelleme, bellek işlemesini iyileştirerek sorunları giderir. Bu sorun, Mac OS X 10.5.8 sistemlerinde Mac OS X 10.6.2 sürümünde ve Güvenlik Güncellemesi 2009-006'te giderilmiştir.

• Safari

  CVE-ID: CVE-2009-2842

  İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 ve v10.6.2, Mac OS X Server v10.6.1 ve v10.6.2, Windows 7, Vista, XP

  Etki: Kötü amaçlarla oluşturulmuş bir web sitesinde kestirme menüsü seçeneklerini kullanmak, yerel bilgilerin açığa çıkmasına sebep olabilir

  Açıklama: Safari'de "Open Image in New Tab" (Görüntüyü Yeni Sekmede Aç), "Open Image in New Window" (Görüntüyü Yeni Pencerede Aç) veya "Open Link in New Tab" (Bağlantıyı Yeni Sekmede Aç) kestirme menüsü seçenekleriyle başlatılan gezinmeleri işleme sorunu vardır. Kötü amaçlarla oluşturulmuş bir web sitesinde bu seçenekleri kullanmak, HTML dosyasının yüklenmesine ve bu da hassas bilgilerin açığa çıkmasına neden olabilir. Bu sorun, bağlantı hedefi yerel bir dosya olduğunda kestirme menüsü seçenekleri devre dışı bırakılarak giderilmiştir.

• WebKit

  CVE-ID: CVE-2009-2816

  İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 ve v10.6.2, Mac OS X Server v10.6.1 v10.6.2, Windows 7, Vista, XP

  Etki: Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, diğer web sitelerinde beklenmedik eylemlere neden olabilir

  Açıklama: WebKit'in Cross-Origin Resource Sharing uygulamasında bir sorun vardır. Bir kaynaktaki sayfanın başka bir kaynaktaki kaynağa erişmesine izin vermeden önce WebKit, kaynağa erişim için ikinci sunucuya bir ön kontrol isteği gönderir. WebKit, ön kontrol isteğinde, istekte bulunan sayfa tarafından belirtilen özel HTTP başlıklarını içerir. Bu, siteler arası istek sahteciliğini kolaylaştırabilir. Bu sorun, özel HTTP başlıklarının ön kontrol isteklerinden kaldırılmasıyla giderilmiştir. Teşekkür: Apple.

• WebKit

  CVE-ID: CVE-2009-3384

  İlgili sürümler: Windows 7, Vista, XP

  Etki: Kötü amaçlarla oluşturulmuş bir FTP sunucusuna erişmek, uygulamanın beklenmedik şekilde sonlandırılmasına, bilgilerin açığa çıkmasına veya rastgele kod yürütülmesine neden olabilir

  Açıklama: WebKit'in FTP dizin listelerini işlemesinde birden fazla güvenlik açığı bulunmaktadır. Kötü amaçlarla oluşturulmuş bir FTP sunucusuna erişmek, bilgilerin açığa çıkmasına, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, FTP dizin listelerinin ayrıştırılmasını iyileştirerek sorunu giderir. Bu sorunlar, Mac OS X sistemlerinde Safari'yi etkilemez. Bu sorunları bildirdiği için Google Inc. şirketinden Michal Zalewski'ye teşekkür ederiz.

• WebKit

  CVE-ID: CVE-2009-2841

  İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 ve v10.6.2, Mac OS X Server v10.6.1 ve v10.6.2

  Etki: Bir posta, uzaktan resim yükleme devre dışı bırakıldığında uzak ses ve video içeriğini yükleyebilir

  Açıklama: WebKit, harici bir kaynağa işaret eden bir HTML 5 Medya Öğesi ile karşılaştığında, kaynağın yüklenmesi gerekip gerekmediğini belirlemek için bir kaynak yükleme geri çağrısı yapmaz. Bu, uzak sunuculara istenmeyen isteklerde bulunulmasına neden olabilir. Örneğin, HTML biçiminde bir e-posta mesajı gönderen kişi bunu mesajın okunup okunmadığını belirlemek için kullanabilir. Bu sorun, WebKit bir HTML 5 Medya Öğesi ile karşılaştığında kaynak yükü geri çağrıları oluşturularak giderildi. Bu sorun, Windows sistemlerinde Safari'yi etkilemez.