Проблеми системи безпеки, які усунено в Safari 3.1.2 для Windows

У цьому документі описано проблеми системи безпеки, які усунено в оновленні Safari 3.1.2 для Windows. Його можна завантажити та інсталювати через параметри Оновлення ПЗ або з сайту завантаження Apple.

Щоб захистити клієнтів, Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми та не опубліковано необхідні виправлення або нові випуски. Щоб дізнатися більше про засоби безпеки продуктів Apple, відвідайте веб‑сайт, присвячений безпеці продуктів Apple.

Відомості про ключ PGP від Apple Product Security наведено в статті «Використання ключа PGP від Apple Product Security».

Якщо можливо, для отримання подальшої інформації про вразливості використовуються ідентифікатори CVE.

Про інші оновлення системи безпеки розказано у статті «Оновлення системи безпеки Apple».

Safari 3.1.2 для Windows

Safari

Ідентифікатор CVE: CVE-2008-1573

Цільові продукти: Windows XP або Vista

Вплив: перегляд шкідливого зображення у форматі BMP або GIF може призвести до розкриття інформації.

Опис: під час обробки зображень у форматі BMP та GIF може відбуватися зчитування з зовнішньої пам’яті, що може призвести до розкриття вмісту пам’яті. Це оновлення вирішує проблему завдяки додатковій перевірці зображень у форматі BMP та GIF. Цю проблему вирішено в системах з Mac OS X 10.5.3 та Mac OS X 10.4.11 завдяки оновленню системи безпеки 2008-003. Подяка за повідомлення про цю проблему: Gynvael Coldwind з Hispasec.

Safari

Ідентифікатор CVE: CVE-2008-2540

Цільові продукти: Windows XP або Vista

Вплив: збереження ненадійних файлів на робочому столі Windows може призвести до виконання довільного коду.

Опис: проблема виникає в процесі обробки виконуваних файлів робочим столом Windows. Збереження ненадійного файлу на робочому столі Windows може спричинити проблему та призвести до виконання довільного коду. Способом збереження файлів на робочому столі є веб-браузери. Щоб усунути цю проблему, оновлено браузер Safari, який запитує користувача перед збереженням завантажуваного файлу. Крім того, місце завантаження за замовчуванням змінено на користувацьку папку «Завантаження» в Windows Vista і на користувацьку папку «Документи» в Windows XP. Ця проблема не виникає в системах з Mac OS X. Додаткову інформацію можна отримати на вебсайті http://www.microsoft.com/technet/security/advisory/953818.mspx. Подяка за повідомлення про цю проблему: Aviv Raff.

Safari

Ідентифікатор CVE: CVE-2008-2306

Цільові продукти: Windows XP або Vista

Вплив: відвідування шкідливого веб-сайту в довіреній зоні браузера Internet Explorer може призвести до автоматичного виконання довільного коду.

Опис: якщо веб-сайт перебуває в зоні браузера Internet Explorer 7 із параметром «Запуск програм і небезпечних файлів», установленим на «Увімкнено», або якщо веб-сайт перебуває в зоні «Локальна інтрамережа» або «Довірені сайти» браузера Internet Explorer 6, то Safari автоматично запускатиме виконувані файли, завантажені з сайту. Це оновлення усуває дану проблему, не запускаючи завантажені виконувані файли автоматично, а запитуючи користувача перед завантаженням файлу, якщо параметр «завжди запитувати» увімкнено. Ця проблема не виникає в системах з Mac OS X. Подяка за повідомлення про цю проблему: Will Dormann з CERT/CC. Вдячність Центру реагування на загрози безпеці Microsoft за спільну роботу з усунення цієї проблеми.

WebKit

Ідентифікатор CVE: CVE-2008-2307

Цільові продукти: Windows XP або Vista

Вплив: відвідування шкідливого сайту може призводити до несподіваного завершення роботи програми або виконання довільного коду.

Опис: у програмі WebKit під час обробки масивів JavaScript виникає проблема з пошкодженням пам’яті. Відвідування шкідливого сайту може призводити до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення вирішує проблему за допомогою вдосконаленої перевірки меж. Подяка за повідомлення про цю проблему: James Urquhart.