Safari 5.0.1 ve Safari 4.1.1'in güvenlik içeriği hakkında
Bu belgede Safari 5.0.1 ve Safari 4.1.1'in güvenlik içeriği açıklanmaktadır.
Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.
Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarı'nı kullanma" başlıklı makaleye bakın.
Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.
Safari 5.0.1 ve Safari 4.1.1
Safari
CVE-ID: CVE-2010-1778
İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 veya sonraki sürümler, Mac OS X Server v10.6.2 veya sonraki sürümler, Windows 7, Vista, XP SP2 veya sonraki sürümler
Etki: Kötü amaçlarla oluşturulmuş bir RSS kaynağına erişmek, kullanıcının sistemindeki dosyaların uzaktaki bir sunucuya gönderilmesine neden olabilir
Açıklama: Safari’nin RSS akışlarını işlemesinde siteler arası betik kullanımı sorunu var. Kötü amaçlarla oluşturulmuş bir RSS kaynağına erişmek, kullanıcının sistemindeki dosyaların uzak bir sunucuya gönderilmesine neden olabilir. Bu sorun, RSS kaynaklarının işlenmesi iyileştirilerek giderildi. Bu sorunu bildirdiği için Google Güvenlik Ekibi'nden Billy Rios'a teşekkür ederiz.
Safari
CVE-ID: CVE-2010-1796
İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 veya sonraki sürümler, Mac OS X Server v10.6.2 veya sonraki sürümler, Windows 7, Vista, XP SP2 veya sonraki sürümler
Etki: Safari'nin Otomatik Doldur özelliği, bilgileri kullanıcı etkileşimi olmadan web siteleri için açığa çıkarabilir
Açıklama: Safari'nin Otomatik Doldur özelliği; Mac OS X Adres Defteri, Outlook veya Windows Adres Defteri'nde tanımlanmış olan bilgileri kullanarak web formlarını otomatik olarak doldurabilir. Tasarım gereği, Otomatik Doldur özelliğinin bir web formu içinde çalışması için kullanıcı eylemi gerekir. Kötü amaçlarla oluşturulmuş bir web sitesinin Otomatik Doldur özelliğini kullanıcı etkileşimi olmadan tetiklemesine izin veren bir uygulama sorunu vardır. Bu durum, kullanıcının Adres Defteri Kartı'nda bulunan bilgilerin açığa çıkmasına neden olabilir. Sorunun tetiklenmesi için aşağıdaki iki durum gereklidir. İlk olarak Safari Tercihleri'ndeki Otomatik Doldur altında, "Adres Defteri kartımdaki bilgileri kullanarak web formlarını otomatik doldur" onay kutusu seçilmelidir. İkinci olarak, kullanıcının Adres Defteri'nde "Kartım" olarak belirlenmiş bir Kart bulunmalıdır. Otomatik Doldur aracılığıyla yalnızca söz konusu karttaki bilgilere erişilir. Bu sorun, Otomatik Doldur özelliğinin kullanıcı eylemi olmadan bilgileri kullanması yasaklanarak giderildi. iOS yüklü olan aygıtlar etkilenmez. WhiteHat Security şirketinden Jeremiah Grossman'a bu sorunu bildirdiği için teşekkür ederiz.
WebKit
CVE-ID: CVE-2010-1780
İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X Server v10.5.8, Mac OS X v10.6.2 veya sonraki sürümler, Mac OS X Server v10.6.2 veya sonraki sürümler, Windows 7, Vista, XP SP2 veya sonraki sürümler
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: WebKit'in öğe odağını işlemesinde, boşaltılan belleğin kullanılmasıyla ilgili bir sorun var. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu sorun, öğe odağının işlenmesi iyileştirilerek giderildi. Google, Inc. şirketinden Tony Chang'e bu sorunu bildirdiği için teşekkür ederiz.
WebKit
CVE-ID: CVE-2010-1782
İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 veya sonraki sürümler, Mac OS X Server v10.6.2 veya sonraki sürümler, Windows 7, Vista, XP SP2 veya sonraki sürümler
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: WebKit'in satır içi öğeleri işlemesinde bir bellek bozulması sorunu var. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Sınır denetimi iyileştirilerek bu sorun giderildi. Bu sorunu bildirdiği için team509'dan wushi'ye teşekkür ederiz.
WebKit
CVE-ID: CVE-2010-1783
İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 veya sonraki sürümler, Mac OS X Server v10.6.2 veya sonraki sürümler, Windows 7, Vista, XP SP2 veya sonraki sürümler
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: WebKit'in metin düğümlerindeki dinamik değişiklikleri işlemesinde bir bellek bozulması sorunu var. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu sorun, iyileştirilmiş bellek yönetimiyle giderildi.
WebKit
CVE-ID: CVE-2010-1784
İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 veya sonraki sürümler, Mac OS X Server v10.6.2 veya sonraki sürümler, Windows 7, Vista, XP SP2 veya sonraki sürümler
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: WebKit'in CSS sayaçlarını işlemesinde bir bellek bozulması sorunu var. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu sorun, iyileştirilmiş bellek yönetimiyle giderildi. TippingPoint'in Zero Day Initiative programıyla çalışan team509 ekibinden wushi'ye bu sorunu bildirdiği için teşekkür ederiz.
WebKit
CVE-ID: CVE-2010-1785
İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 veya sonraki sürümler, Mac OS X Server v10.6.2 veya sonraki sürümler, Windows 7, Vista, XP SP2 veya sonraki sürümler
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: WebKit'in SVG metin öğelerindeki :first-letter ve :first-line sözde öğelerini işlemesinde bir ilklendirilmemiş bellek erişimi sorunu var. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu sorun, SVG metin öğelerinde :first-letter veya :first-line sözde öğeleri oluşturulmayarak giderildi. TippingPoint'in Zero Day Initiative programıyla çalışan team509 ekibinden wushi'ye bu sorunu bildirdiği için teşekkür ederiz.
WebKit
CVE-ID: CVE-2010-1786
İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 veya sonraki sürümler, Mac OS X Server v10.6.2 veya sonraki sürümler, Windows 7, Vista, XP SP2 veya sonraki sürümler
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: WebKit'in SVG belgelerindeki foreignObject öğelerini işlemesinde, boşaltılan belleğin kullanılmasıyla ilgili bir sorun var. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu sorun, SVG belgelerine ek doğrulama uygulanması sağlanarak giderildi. TippingPoint'in Zero Day Initiative programıyla çalışan team509 ekibinden wushi'ye bu sorunu bildirdiği için teşekkür ederiz.
WebKit
CVE-ID: CVE-2010-1787
İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 veya sonraki sürümler, Mac OS X Server v10.6.2 veya sonraki sürümler, Windows 7, Vista, XP SP2 veya sonraki sürümler
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: WebKit'in SVG belgelerindeki kayan öğeleri işlemesinde bir bellek bozulması sorunu var. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu sorun, iyileştirilmiş bellek yönetimiyle giderildi. TippingPoint'in Zero Day Initiative programıyla çalışan team509 ekibinden wushi'ye bu sorunu bildirdiği için teşekkür ederiz.
WebKit
CVE-ID: CVE-2010-1788
İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 veya sonraki sürümler, Mac OS X Server v10.6.2 veya sonraki sürümler, Windows 7, Vista, XP SP2 veya sonraki sürümler
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: WebKit'in SVG belgelerindeki "use" öğelerini işlemesinde bir bellek bozulması sorunu var. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu sorun, SVG belgelerindeki "use" öğelerinin işlenmesi iyileştirilerek giderildi. Google, Inc. şirketinden Justin Schuh'a bu sorunu bildirdiği için teşekkür ederiz.
WebKit
CVE-ID: CVE-2010-1789
İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 veya sonraki sürümler, Mac OS X Server v10.6.2 veya sonraki sürümler, Windows 7, Vista, XP SP2 veya sonraki sürümler
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: WebKit'in JavaScript dize nesnelerini işlemesinde bir yığın arabellek taşması var. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Sınır denetimi iyileştirilerek bu sorun giderildi. Teşekkür: Apple.
WebKit
CVE-ID: CVE-2010-1790
İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 veya sonraki sürümler, Mac OS X Server v10.6.2 veya sonraki sürümler, Windows 7, Vista, XP SP2 veya sonraki sürümler
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: WebKit'in "just-in-time" derlenen JavaScript taslaklarını işlemesinde bir yeniden giriş sorunu var. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu sorun, eşzamanlama iyileştirilerek giderildi.
WebKit
CVE-ID: CVE-2010-1791
İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 veya sonraki sürümler, Mac OS X Server v10.6.2 veya sonraki sürümler, Windows 7, Vista, XP SP2 veya sonraki sürümler
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: WebKit'in JavaScript dizilerini işlemesinde bir işaret sorunu var. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu sorun, JavaScript dizisi işaretlerinin işlenmesi iyileştirilerek giderildi. Bu sorunu bildirdiği için Natalie Silvanovich'e teşekkür ederiz.
WebKit
CVE-ID: CVE-2010-1792
İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 veya sonraki sürümler, Mac OS X Server v10.6.2 veya sonraki sürümler, Windows 7, Vista, XP SP2 veya sonraki sürümler
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: WebKit'in kurallı ifadeleri işlemesinde bir bellek bozulması sorunu var. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu sorun, kurallı ifadelerin işlenmesi iyileştirilerek giderildi. Szeged Üniversitesi'nden Peter Varga'ya bu sorunu bildirdiği için teşekkür ederiz.
WebKit
CVE-ID: CVE-2010-1793
İlgili sürümler: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 veya sonraki sürümler, Mac OS X Server v10.6.2 veya sonraki sürümler, Windows 7, Vista, XP SP2 veya sonraki sürümler
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: WebKit'in SVG belgelerindeki "font-face" ve "use" öğelerini işlemesinde boşaltılan belleğin kullanılmasıyla ilgili bir sorun var. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu sorun, SVG belgelerindeki "font-face" ve "use" öğelerinin işlenmesi iyileştirilerek giderildi. Bu sorunu bildirdiği için OUSPG'den Aki Helin'e teşekkür ederiz.
Önemli: Üçüncü taraf web siteleri ve ürünlerinden yalnızca bilgi vermek amacıyla bahsedilmektedir ve bu herhangi bir onay veya öneri niteliği taşımaz. Apple, üçüncü taraf web sitelerinde bulunan ürünlerin seçilmesi, performansı veya kullanılması ya da bu sitelerde yer alan bilgilerin kullanılması konusunda hiçbir sorumluluk kabul etmez. Apple, bu bilgileri yalnızca kullanıcılarına kolaylık sağlamak amacıyla sunmaktadır. Apple, bu sitelerde bulunan bilgileri test etmemiştir ve bunların doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. İnternette bulunan herhangi bir bilgi veya ürünün kullanılması çeşitli riskler içerir ve Apple bu konuda hiçbir sorumluluk üstlenmez. Lütfen üçüncü taraf web sitelerinin Apple'dan bağımsız olduğunu ve Apple'ın bu sitelerdeki içerik üzerinde hiçbir denetimi olmadığını unutmayın. Ek bilgi için lütfen tedarikçiyle irtibata geçin.