Проблеми системи безпеки, які усунено в оновленні Safari 3.2
У цьому документі описано проблеми системи безпеки, які усунено в оновленні Safari 3.2.
Щоб захистити клієнтів, Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки повністю не завершено вивчення відповідної проблеми та не опубліковано необхідні виправлення або нові випуски. Щоб дізнатися більше про засоби безпеки продуктів Apple, відвідайте вебсайт, присвячений безпеці продуктів Apple.
Відомості про ключ PGP безпеки продуктів Apple наведено в статті Як використовувати ключ PGP безпеки продуктів Apple.
Якщо можливо, для отримання подальшої інформації про вразливості використовуються ідентифікатори CVE.
Відомості про інші оновлення системи безпеки наведено в статті Випуски безпеки Apple.
Safari 3.2
Safari
CVE-ID: CVE-2005-2096
Цільові продукти: Windows XP або Vista
Вплив: численні вразливості в zlib 1.2.2
Опис: наявні численні вразливості в zlib 1.2.2, найсерйозніша з яких може спричинити відмову в сервісі. Це оновлення усуває проблеми за допомогою оновлення до zlib 1.2.3. Ці проблеми не впливають на системи Mac OS X. Подяка за повідомлення про ці проблеми: Robbie Joosten із bioinformatics@school та David Gunnells з Університету Алабами в Бірмінгемі.
Safari
CVE-ID: CVE-2008-1767
Цільові продукти: Windows XP або Vista
Вплив: обробка документа XML може призвести до несподіваного завершення роботи програми чи виконання довільного коду.
Опис: у бібліотеці libxslt виникає переповнення буфера динамічної пам’яті. Вплив: перегляд шкідливої HTML-сторінки може призвести до несподіваного завершення роботи програми або виконання довільного коду. Подальша інформація про застосовне виправлення доступна за посиланням http://xmlsoft.org/XSLT/ Ця проблема не впливає на системи Mac OS X, для яких застосовано оновлення безпеки 2008-007. Подяка за повідомлення про цю проблему: Anthony de Almeida Lopes з Outpost24 AB та Chris Evans із Google Security Team.
Safari
CVE-ID: CVE-2008-3623
Цільові продукти: Windows XP або Vista
Вплив: відвідування шкідливого сайту може призвести до несподіваного завершення роботи програми чи виконання довільного коду.
Опис: під час обробки кольорових просторів у CoreGraphics виникає переповнення буфера динамічної пам’яті. Перегляд шкідливого зображення може призводити до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення вирішує проблему за рахунок покращення перевірки меж. Подяка: Apple.
Safari
CVE-ID: CVE-2008-2327
Цільові продукти: Windows XP або Vista
Вплив: перегляд шкідливого зображення TIFF може призвести до несподіваного завершення роботи програми чи виконання довільного коду.
Опис: виникають численні проблеми з неініціалізованим доступом до пам’яті під час обробки зображень TIFF, закодованих LZW, у libTIFF. Перегляд шкідливого TIFF-зображення може призводити до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення усуває проблему через належну ініціалізацію пам’яті й додаткову перевірку зображень TIFF. Ця проблема стосується систем на платформі Mac OS X версії 10.5.5 або новішої, а також систем Mac OS X версії 10.4.11, для яких застосовано оновлення безпеки 2008-006. Подяка: Apple.
Safari
CVE-ID: CVE-2008-2332
Цільові продукти: Windows XP або Vista
Вплив: перегляд шкідливого зображення TIFF може призвести до несподіваного завершення роботи програми чи виконання довільного коду.
Опис: під час обробки зображень TIFF в ImageIO виникає проблема пошкодження пам’яті. Перегляд шкідливого TIFF-зображення може призводити до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення усуває проблему завдяки вдосконаленню обробки зображень TIFF. Ця проблема стосується систем на платформі Mac OS X версії 10.5.5 або новішої, а також систем Mac OS X версії 10.4.11, для яких застосовано оновлення безпеки 2008-006. Подяка за повідомлення про цю проблему: Robert Swiecki з Google Security Team.
Safari
CVE-ID: CVE-2008-3608
Цільові продукти Windows XP або Vista
Вплив: перегляд великого шкідливого зображення JPEG може призвести до несподіваного завершення роботи програми чи виконання довільного коду.
Опис: під час обробки вбудованих профілів ICC зображень JPEG в ImageIO виникає проблема пошкодження пам’яті. Перегляд великого шкідливого зображення JPEG може призвести до несподіваного завершення роботи програми чи виконання довільного коду. Це оновлення усуває проблему завдяки вдосконаленню обробки профілів ICC. Ця проблема стосується систем на платформі Mac OS X версії 10.5.5 або новішої, а також систем Mac OS X версії 10.4.11, для яких застосовано оновлення безпеки 2008-006. Подяка: Apple.
Safari
CVE-ID: CVE-2008-3642
Цільові продукти: Windows XP або Vista
Вплив: перегляд шкідливого зображення може призвести до несподіваного завершення роботи програми чи виконання довільного коду.
Опис: під час обробки зображень із вбудованим профілем ICC виникає переповнення буфера динамічної пам’яті. Відкриття шкідливого зображення з вбудованим профілем ICC може призвести до несподіваного завершення роботи програми чи виконання довільного коду. Це оновлення усуває проблему завдяки виконанню додаткової перевірки профілів ICC зображень. Ця проблема не впливає на системи Mac OS X, для яких застосовано оновлення системи безпеки 2008-007. Подяка: Apple.
Safari
CVE-ID: CVE-2008-3644
Цільові продукти: Mac OS X версії 10.4.11, Mac OS X версії 10.5.5, Windows XP або Vista
Вплив: конфіденційну інформацію може бути розкрито користувачу локальної консолі.
Опис: вимкнення автоматичного заповнення в полі форми може на запобігти зберіганню даних у полі в кеші сторінки браузера. Це може призвести до розкриття конфіденційної інформації локальному користувачу. Це оновлення усуває проблему за допомогою належного очищення даних форми. Подяка за повідомлення про цю проблему анонімному досліднику.
WebKit
CVE-ID: CVE-2008-2303
Цільові продукти: Mac OS X версії 10.4.11, Mac OS X версії 10.5.5, Windows XP або Vista
Вплив: відвідування шкідливого сайту може призвести до несподіваного завершення програми або виконання довільного коду.
Опис: проблема підпису під час обробки індексів масиву JavaScript у Safari може призвести до доступу до пам’яті за межами виділеної області. Відвідування шкідливого сайту може призводити до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення вирішує проблему завдяки додатковій перевірці індексів масиву JavaScript. Подяка за повідомлення про цю проблему: SkyLined із компанії Google.
WebKit
CVE-ID: CVE-2008-2317
Цільові продукти: Mac OS X версії 10.4.11, Mac OS X версії 10.5.5, Windows XP або Vista
Вплив: відвідування шкідливого сайту може призвести до несподіваного завершення програми або виконання довільного коду.
Опис: під час обробки елементів стилів таблиць у WebCore виникає проблема пошкодження пам’яті. Відвідування шкідливого сайту може призводити до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення вирішує проблему завдяки покращеному чищенню пам’яті. Подяка за повідомлення про цю проблему анонімному досліднику, який співпрацює з TippingPoint Zero Day Initiative.
WebKit
CVE-ID: CVE-2008-4216
Цільові продукти: Mac OS X версії 10.4.11, Mac OS X версії 10.5.5, Windows XP або Vista
Вплив: відвідування шкідливого сайту може призвести до розкриття конфіденційної інформації.
Опис: інтерфейс плагінів WebKit не блокує запуск локальних URL-адрес плагінами. Відвідування шкідливого сайту може надати віддаленому зловмиснику можливість запустити локальні файли в Safari, що може призвести до розкриття конфіденційної інформації. Це оновлення усуває проблему за допомогою обмеження типів URL-адрес, які можна запустити через інтерфейс плагінів. Подяка за повідомлення про цю проблему: Billy Rios із Microsoft та Nitesh Dhanjani із Ernst & Young.
Важливо. Згадування сторонніх вебсайтів і продуктів призначене лише для інформаційних цілей та не є ні заявою про підтримку, ні рекомендацією. Apple не несе відповідальності за вибір, продуктивність чи використання інформації або продуктів зі сторонніх вебсайтів. Apple надає цю інформацію лише для зручності наших користувачів. Компанія Apple не перевіряла інформацію, знайдену на цих вебсайтах, і не робить жодних заяв щодо її точності або надійності. Використання будь-якої інформації або продуктів, знайдених в інтернеті, пов’язане з ризиком, і Apple не несе жодної відповідальності щодо цього. Пам’ятайте, що сторонній вебсайт існує незалежно від Apple, і Apple не контролює вміст такого вебсайту. Зв’яжіться з постачальником послуг, щоб отримати додаткову інформацію.