Safari 5.0.2 ve Safari 4.1.2'nin güvenlik içeriği hakkında

Bu belgede Safari 5.0.2 ve Safari 4.1.2'nin güvenlik içeriği açıklanmaktadır.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarı'nı kullanma" başlıklı makaleye bakın.

Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.

Safari 5.0.2 ve Safari 4.1.2

• Safari

  CVE-ID: CVE-2010-1805

  İlgili sürümler: Windows 7, Vista, XP SP2 veya sonraki sürümler

  Etki: Diğer kullanıcılar tarafından yazılabilir olan bir dizindeki bir dosyayı açmak rastgele kod yürütülmesine neden olabilir

  Açıklama: Safari'de arama yolu sorunu vardır. İndirilen bir dosyanın konumu görüntülenirken Safari, yürütülebilir dosyanın tam yolunu belirtmeden Windows Gezgini'ni açar. Belirli bir dizindeki bir dosya açılarak Safari başlatıldığında arama yoluna söz konusu dizin dahil edilir. İndirilen bir dosyanın konumunu göstermeyi denemek, ilgili dizinde yer alan bir uygulamanın yürütülmesine neden olabilir ve bu da rastgele kod yürütülmesiyle sonuçlanabilir. Bu sorun, Windows Gezgini başlatılırken açık bir arama yolu kullanılarak giderildi. Bu sorun, Mac OS X sistemlerini etkilemez. ACROS Security şirketinden Simon Raner'a bu sorunu bildirdiği için teşekkür ederiz.

• WebKit

  CVE-ID: CVE-2010-1807

  İlgili sürümler: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 veya sonraki sürümler, Mac OS X Server 10.6.2 veya sonraki sürümler, Windows 7, Vista, XP SP2 veya sonraki sürümler

  Etki: Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

  Açıklama: WebKit'in kayan noktalı veri türlerini işlemesinde giriş doğrulama sorunu vardır. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu sorun, kayan noktalı değerlerin doğrulanması iyileştirilerek giderildi. Bu sorunu bildirdiği için Mozilla'dan Luke Wagner'a teşekkür ederiz.

• WebKit

  CVE-ID: CVE-2010-1806

  İlgili sürümler: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 veya sonraki sürümler, Mac OS X Server 10.6.2 veya sonraki sürümler, Windows 7, Vista, XP SP2 veya sonraki sürümler

  Etki: Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

  Açıklama: WebKit'in çalıştırma stiline sahip öğeleri işlemesinde, boşaltılan belleğin kullanılmasıyla ilgili bir sorun vardır. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu sorun, nesne işaretçilerinin işlenmesi iyileştirilerek giderildi. TippingPoint'in Zero Day Initiative programıyla çalışan team509 ekibinden wushi'ye bu sorunu bildirdiği için teşekkür ederiz.