Safari 4.0.5'in güvenlik içeriği hakkında
Bu belgede, Safari 4.0.5'in güvenlik içeriği açıklanmaktadır.
Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.
Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarı'nı kullanma" başlıklı makaleye bakın.
Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.
Safari 4.0.5
ColorSync
CVE-ID: CVE-2010-0040
İlgili işletim sistemleri: Windows 7, Vista, XP
Etki: Kötü amaçlarla oluşturulmuş bir resmi görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Gömülü renk profiline sahip resimlerin işlenmesinde bir tam sayı taşması sorunu vardır. Bu sorun, yığın arabellek taşmasına neden olabilir. Kötü amaçlarla oluşturulmuş gömülü renk profiline sahip bir resmi açmak, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir. Bu sorun, renk profillerinde ek doğrulama yapılarak giderilmiştir. Bu sorun, Mac OS X sistemlerini etkilemez. VUPEN Vulnerability Research ekibinden Sebastien Renaud'a bu sorunu bildirdiği için teşekkür ederiz.
ImageIO
CVE-ID: CVE-2009-2285
İlgili sürümler: Windows 7, Vista, XP
Etki: Kötü amaçlarla oluşturulmuş bir TIFF resmini görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: ImageIO'nun TIFF resimlerini işlemesinde arabellek boşalması sorunu vardır. Kötü amaçlarla oluşturulmuş bir TIFF resmini görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir. Sınır denetimi iyileştirilerek bu sorun giderildi. Bu sorun, Mac OS X v10.6 sistemlerinde Mac OS X v10.6.2 sürümünde ve Mac OS X v10.5 sistemlerinde Güvenlik Güncellemesi 2010-001'de giderilmiştir.
ImageIO
CVE-ID: CVE-2010-0041
İlgili sürümler: Windows 7, Vista, XP
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, Safari'nin belleğinden web sitesine veri gönderilmesine neden olabilir
Açıklama: ImageIO'nun BMP resimlerini işlemesinde ilklendirilmemiş bellek erişimi sorunu vardır. Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, Safari'nin belleğinden web sitesine veri gönderilmesine neden olabilir. Bu sorun, belleğin işlenmesi iyileştirilerek ve BMP görüntülerine ek doğrulama ilave edilerek giderilmiştir. Hispasec şirketinden Matthew "j00ru" Jurczyk'e bu sorunu bildirdiği için teşekkür ederiz.
ImageIO
CVE-ID: CVE-2010-0042
İlgili sürümler: Windows 7, Vista, XP
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, Safari'nin belleğinden web sitesine veri gönderilmesine neden olabilir
Açıklama: ImageIO'nun TIFF resimlerini işlemesinde ilklendirilmemiş bellek erişimi sorunu vardır. Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, Safari'nin belleğinden web sitesine veri gönderilmesine neden olabilir. Bu sorun belleğin işlenmesi iyileştirilerek ve TIFF görüntülerine ek doğrulama ilave edilerek giderilmiştir. Hispasec şirketinden Matthew "j00ru" Jurczyk'e bu sorunu bildirdiği için teşekkür ederiz.
ImageIO
CVE-ID: CVE-2010-0043
İlgili sürümler: Windows 7, Vista, XP
Etki: Kötü amaçlarla oluşturulmuş bir TIFF resmini işlemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: TIFF resimlerinin işlenmesinde bellek bozulması sorunu vardır. Kötü amaçlarla oluşturulmuş bir TIFF resmini işlemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir. Bu sorun, belleğin işlenmesi iyileştirilerek giderilmiştir. Flying Meat şirketinden Gus Mueller'a bu sorunu bildirdiği için teşekkür ederiz.
PubSub
CVE-ID: CVE-2010-0044
İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 veya sonraki sürümleri, Mac OS X Server v10.6.1 veya sonraki sürümleri, Windows 7, Vista, XP
Etki: Bir kaynağı ziyaret etmek veya güncellemek, Safari çerezleri engelleyecek şekilde yapılandırılmış olsa bile bir çerezin ayarlanmasına neden olabilir
Açıklama: RSS ve Atom kaynakları tarafından belirlenen çerezlerin işlenmesinde bir uygulama sorunu vardır. Bir kaynağı ziyaret etmek veya güncellemek, Safari "Çerezleri Kabul Et" tercihi yoluyla çerezleri engelleyecek şekilde yapılandırılmış olsa bile bir çerezin ayarlanmasına neden olabilir. Bu güncellemede, kaynakları güncellerken veya görüntülerken tercihte bir değişiklik yapmadan sorunu giderir.
Safari
CVE-ID: CVE-2010-0045
İlgili sürümler: Windows 7, Vista, XP
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, rastgele kod yürütülmesine neden olabilir
Açıklama: Safari'nin harici URL şemalarını işlemesindeki bir sorun, web sayfasında karşılaşılan bir URL'ye yanıt olarak yerel bir dosyanın açılmasına neden olabiliyordu. Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi rastgele kod yürütülmesine neden olabilir. Bu güncelleme, harici URL'ler için doğrulama işlemini iyileştirerek sorunu giderir. Bu sorun, Mac OS X sistemlerini etkilemez. Billy Rios'a Microsoft Vulnerability Research'e (MSVR) bu sorunu bildirdikleri için teşekkür ederiz
WebKit
CVE-ID: CVE-2010-0046
İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 veya sonraki sürümleri, Mac OS X Server v10.6.1 veya sonraki sürümleri, Windows 7, Vista, XP
Etki: Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: WebKit'in CSS format() bağımsız değişkenlerini işlemesinde bellek bozulması sorunu vardır. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu sorun, CSS format() bağımsız değişkenlerinin işlenmesi iyileştirilerek giderilmiştir. Google Inc. şirketinden Robert Swiecki'ye bu sorunu bildirdiği için teşekkür ederiz.
WebKit
CVE-ID: CVE-2010-0047
İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 veya sonraki sürümleri, Mac OS X Server v10.6.1 veya sonraki sürümleri, Windows 7, Vista, XP
Etki: Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Bir HTML nesne öğesinin yedek içeriğinin işlenmesinde boşaltılan belleğin kullanılmasıyla ilgili bir sorun vardır. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu sorun, belleğin referans takibi iyileştirilerek giderilmiştir. TippingPoint'in Zero Day Initiative programıyla çalışan, team509 ekibinden wushi'ye bu sorunu bildirdiği için teşekkür ederiz.
WebKit
CVE-ID: CVE-2010-0048
İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 veya sonraki sürümleri, Mac OS X Server v10.6.1 veya sonraki sürümleri, Windows 7, Vista, XP
Etki: Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: WebKit'in XML belgelerini ayrıştırmasında boşaltılan belleğin kullanılmasıyla ilgili bir sorun vardır. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu sorun, belleğin referans takibi iyileştirilerek giderilmiştir. TippingPoint'in Zero Day Initiative programıyla çalışan, team509 ekibinden wushi'ye bu sorunu bildirdiği için teşekkür ederiz.
WebKit
CVE-ID: CVE-2010-0049
İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 veya sonraki sürümleri, Mac OS X Server v10.6.1 veya sonraki sürümleri, Windows 7, Vista, XP
Etki: Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Sağdan sola yazılmış metin içeren HTML öğelerinin işlenmesinde boşaltılan belleğin kullanılmasıyla ilgili bir sorun vardır. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu sorun, belleğin referans takibi iyileştirilerek giderilmiştir. TippingPoint'in Zero Day Initiative programıyla çalışan team509 ekibinden wushi'ye bu sorunu bildirdiği için teşekkür ederiz.
WebKit
CVE-ID: CVE-2010-0050
İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 veya sonraki sürümleri, Mac OS X Server v10.6.1 veya sonraki sürümleri, Windows 7, Vista, XP
Etki: Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: WebKit'in yanlış yerleştirilmiş HTML etiketlerini ayrıştırmasında boşaltılan belleğin kullanılmasıyla ilgili bir sorun vardır. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu sorun, belleğin referans takibi iyileştirilerek giderilmiştir. TippingPoint'in Zero Day Initiative programıyla çalışan team509 ekibinden wushi'ye bu sorunu bildirdiği için teşekkür ederiz.
WebKit
CVE-ID: CVE-2010-0051
İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 veya sonraki sürümleri, Mac OS X Server v10.6.1 veya sonraki sürümleri, Windows 7, Vista, XP
Etki: Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, hassas bilgilerin açığa çıkmasına neden olabilir
Açıklama: WebKit'in kaynaklar arası stil sayfası isteklerini işlemesinde uygulama sorunu vardır. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, korunan kaynakların içeriklerinin başka bir web sitesinde açığa çıkmasına neden olabilir. Bu güncelleme, kaynaklar arası istek sırasında yüklenen stil sayfalarında ek doğrulama yaparak sorunu giderir.
WebKit
CVE-ID: CVE-2010-0052
İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 veya sonraki sürümleri, Mac OS X Server v10.6.1 veya sonraki sürümleri, Windows 7, Vista, XP
Etki: Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: WebKit'in HTML öğelerine yönelik geri çağrıları işlemesinde boşaltılan belleğin kullanılmasıyla ilgili bir sorun vardır. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu sorun, belleğin referans takibi iyileştirilerek giderilmiştir. Teşekkür: Apple.
WebKit
CVE-ID: CVE-2010-0053
İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 veya sonraki sürümleri, Mac OS X Server v10.6.1 veya sonraki sürümleri, Windows 7, Vista, XP
Etki: Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: CSS görüntüleme özelliği "çalıştırma" olarak ayarlandığında içeriğin oluşturulmasında boşaltılan belleğin kullanılmasıyla ilgili bir sorun vardır. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu sorun, belleğin referans takibi iyileştirilerek giderilmiştir. TippingPoint'in Zero Day Initiative programıyla çalışan team509 ekibinden wushi'ye bu sorunu bildirdiği için teşekkür ederiz.
WebKit
CVE-ID: CVE-2010-0054
İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 veya sonraki sürümleri, Mac OS X Server v10.6.1 veya sonraki sürümleri, Windows 7, Vista, XP
Etki: Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: WebKit'in HTML görüntü öğelerini işlemesinde boşaltılan belleğin kullanılmasıyla ilgili bir sorun vardır. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu sorun, belleğin referans takibi iyileştirilerek giderilmiştir. Teşekkür: Apple.
Önemli: Apple tarafından üretilmeyen ürünlerle ilgili bilgiler yalnızca bilgi amaçlı verilmiştir ve bu ürünlerin Apple tarafından önerildiği veya desteklendiği anlamına gelmez. Ek bilgi için lütfen tedarikçiyle irtibata geçin.