Проблеми системи безпеки, які усунено в оновленні Safari 3.2

У цьому документі описано проблеми системи безпеки, які усунено в оновленні Safari 3.2.

Щоб захистити клієнтів, Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки повністю не завершено вивчення відповідної проблеми та не опубліковано необхідні виправлення або нові випуски. Щоб дізнатися більше про засоби безпеки продуктів Apple, відвідайте вебсайт, присвячений безпеці продуктів Apple.

Відомості про ключ PGP безпеки продуктів Apple наведено в статті Як використовувати ключ PGP безпеки продуктів Apple.

Якщо можливо, для отримання подальшої інформації про вразливості використовуються ідентифікатори CVE.

Відомості про інші оновлення системи безпеки наведено в статті Випуски безпеки Apple.

Safari 3.2

• Safari

  CVE-ID: CVE-2005-2096

  Цільові продукти: Windows XP або Vista

  Вплив: численні вразливості в zlib 1.2.2

  Опис: наявні численні вразливості в zlib 1.2.2, найсерйозніша з яких може спричинити відмову в сервісі. Це оновлення усуває проблеми за допомогою оновлення до zlib 1.2.3. Ці проблеми не впливають на системи Mac OS X. Подяка за повідомлення про ці проблеми: Robbie Joosten із bioinformatics@school та David Gunnells з Університету Алабами в Бірмінгемі.

• Safari

  CVE-ID: CVE-2008-1767

  Цільові продукти: Windows XP або Vista

  Вплив: обробка документа XML може призвести до несподіваного завершення роботи програми чи виконання довільного коду.

  Опис: у бібліотеці libxslt виникає переповнення буфера динамічної пам’яті. Вплив: перегляд шкідливої HTML-сторінки може призвести до несподіваного завершення роботи програми або виконання довільного коду. Подальша інформація про застосовне виправлення доступна за посиланням http://xmlsoft.org/XSLT/ Ця проблема не впливає на системи Mac OS X, для яких застосовано оновлення безпеки 2008-007. Подяка за повідомлення про цю проблему: Anthony de Almeida Lopes з Outpost24 AB та Chris Evans із Google Security Team.

• Safari

  CVE-ID: CVE-2008-3623

  Цільові продукти: Windows XP або Vista

  Вплив: відвідування шкідливого сайту може призвести до несподіваного завершення роботи програми чи виконання довільного коду.

  Опис: під час обробки кольорових просторів у CoreGraphics виникає переповнення буфера динамічної пам’яті. Перегляд шкідливого зображення може призводити до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення вирішує проблему за рахунок покращення перевірки меж. Подяка: Apple.

• Safari

  CVE-ID: CVE-2008-2327

  Цільові продукти: Windows XP або Vista

  Вплив: перегляд шкідливого зображення TIFF може призвести до несподіваного завершення роботи програми чи виконання довільного коду.

  Опис: виникають численні проблеми з неініціалізованим доступом до пам’яті під час обробки зображень TIFF, закодованих LZW, у libTIFF. Перегляд шкідливого TIFF-зображення може призводити до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення усуває проблему через належну ініціалізацію пам’яті й додаткову перевірку зображень TIFF. Ця проблема стосується систем на платформі Mac OS X версії 10.5.5 або новішої, а також систем Mac OS X версії 10.4.11, для яких застосовано оновлення безпеки 2008-006. Подяка: Apple.

• Safari

  CVE-ID: CVE-2008-2332

  Цільові продукти: Windows XP або Vista

  Вплив: перегляд шкідливого зображення TIFF може призвести до несподіваного завершення роботи програми чи виконання довільного коду.

  Опис: під час обробки зображень TIFF в ImageIO виникає проблема пошкодження пам’яті. Перегляд шкідливого TIFF-зображення може призводити до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення усуває проблему завдяки вдосконаленню обробки зображень TIFF. Ця проблема стосується систем на платформі Mac OS X версії 10.5.5 або новішої, а також систем Mac OS X версії 10.4.11, для яких застосовано оновлення безпеки 2008-006. Подяка за повідомлення про цю проблему: Robert Swiecki з Google Security Team.

• Safari

  CVE-ID: CVE-2008-3608

  Цільові продукти Windows XP або Vista

  Вплив: перегляд великого шкідливого зображення JPEG може призвести до несподіваного завершення роботи програми чи виконання довільного коду.

  Опис: під час обробки вбудованих профілів ICC зображень JPEG в ImageIO виникає проблема пошкодження пам’яті. Перегляд великого шкідливого зображення JPEG може призвести до несподіваного завершення роботи програми чи виконання довільного коду. Це оновлення усуває проблему завдяки вдосконаленню обробки профілів ICC. Ця проблема стосується систем на платформі Mac OS X версії 10.5.5 або новішої, а також систем Mac OS X версії 10.4.11, для яких застосовано оновлення безпеки 2008-006. Подяка: Apple.

• Safari

  CVE-ID: CVE-2008-3642

  Цільові продукти: Windows XP або Vista

  Вплив: перегляд шкідливого зображення може призвести до несподіваного завершення роботи програми чи виконання довільного коду.

  Опис: під час обробки зображень із вбудованим профілем ICC виникає переповнення буфера динамічної пам’яті. Відкриття шкідливого зображення з вбудованим профілем ICC може призвести до несподіваного завершення роботи програми чи виконання довільного коду. Це оновлення усуває проблему завдяки виконанню додаткової перевірки профілів ICC зображень. Ця проблема не впливає на системи Mac OS X, для яких застосовано оновлення системи безпеки 2008-007. Подяка: Apple.

• Safari

  CVE-ID: CVE-2008-3644

  Цільові продукти: Mac OS X версії 10.4.11, Mac OS X версії 10.5.5, Windows XP або Vista

  Вплив: конфіденційну інформацію може бути розкрито користувачу локальної консолі.

  Опис: вимкнення автоматичного заповнення в полі форми може на запобігти зберіганню даних у полі в кеші сторінки браузера. Це може призвести до розкриття конфіденційної інформації локальному користувачу. Це оновлення усуває проблему за допомогою належного очищення даних форми. Подяка за повідомлення про цю проблему анонімному досліднику.

• WebKit

  CVE-ID: CVE-2008-2303

  Цільові продукти: Mac OS X версії 10.4.11, Mac OS X версії 10.5.5, Windows XP або Vista

  Вплив: відвідування шкідливого сайту може призвести до несподіваного завершення програми або виконання довільного коду.

  Опис: проблема підпису під час обробки індексів масиву JavaScript у Safari може призвести до доступу до пам’яті за межами виділеної області. Відвідування шкідливого сайту може призводити до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення вирішує проблему завдяки додатковій перевірці індексів масиву JavaScript. Подяка за повідомлення про цю проблему: SkyLined із компанії Google.

• WebKit

  CVE-ID: CVE-2008-2317

  Цільові продукти: Mac OS X версії 10.4.11, Mac OS X версії 10.5.5, Windows XP або Vista

  Вплив: відвідування шкідливого сайту може призвести до несподіваного завершення програми або виконання довільного коду.

  Опис: під час обробки елементів стилів таблиць у WebCore виникає проблема пошкодження пам’яті. Відвідування шкідливого сайту може призводити до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення вирішує проблему завдяки покращеному чищенню пам’яті. Подяка за повідомлення про цю проблему анонімному досліднику, який співпрацює з TippingPoint Zero Day Initiative.

• WebKit

  CVE-ID: CVE-2008-4216

  Цільові продукти: Mac OS X версії 10.4.11, Mac OS X версії 10.5.5, Windows XP або Vista

  Вплив: відвідування шкідливого сайту може призвести до розкриття конфіденційної інформації.

  Опис: інтерфейс плагінів WebKit не блокує запуск локальних URL-адрес плагінами. Відвідування шкідливого сайту може надати віддаленому зловмиснику можливість запустити локальні файли в Safari, що може призвести до розкриття конфіденційної інформації. Це оновлення усуває проблему за допомогою обмеження типів URL-адрес, які можна запустити через інтерфейс плагінів. Подяка за повідомлення про цю проблему: Billy Rios із Microsoft та Nitesh Dhanjani із Ernst & Young.