Проблеми системи безпеки, які усунено в оновленні Safari 5.0.1 і Safari 4.1.1
У цьому документі описано проблеми системи безпеки, які усунено в оновленні Safari 5.0.1 і Safari 4.1.1.
Щоб захистити клієнтів, Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки повністю не завершено вивчення відповідної проблеми та не опубліковано необхідні виправлення або нові випуски. Щоб дізнатися більше про засоби безпеки продуктів Apple, відвідайте вебсайт, присвячений безпеці продуктів Apple.
Інформацію про використання PGP-ключа безпеки продуктів Apple наведено на сторінці «Як використовувати PGP-ключ безпеки продуктів Apple».
Якщо можливо, для отримання подальшої інформації про вразливості використовуються ідентифікатори CVE.
Щоб дізнатися про інші оновлення системи безпеки, перейдіть на сторінку «Випуски безпеки Apple».
Safari 5.0.1 і Safari 4.1.1
Safari
CVE-ID: CVE-2010-1778
Доступно для: Mac OS X версії 10.4.11, Mac OS X Server версії 10.4.11, Mac OS X версії 10.5.8, Mac OS X Server версії 10.5.8, Mac OS X версії 10.6.2 або новішої версії, Mac OS X Server версії 10.6.2 або новішої версії, Windows 7, Vista, XP SP2 або новішої версії
Вплив: під час відвідування шкідливого каналу RSS файли із системи користувача можуть пересилатися на віддалений сервер
Опис: проблема з використанням міжсайтових сценаріїв під час обробки каналів RSS у Safari. Під час відвідування шкідливого каналу RSS файли із системи користувача можуть пересилатися на віддалений сервер. Проблему вирішено завдяки покращеній обробці каналів RSS. Дякуємо користувачу Billy Rios із Google Security Team за повідомлення про цю проблему.
Safari
CVE-ID: CVE-2010-1796
Доступно для: Mac OS X версії 10.4.11, Mac OS X Server версії 10.4.11, Mac OS X версії 10.5.8, Mac OS X Server версії 10.5.8, Mac OS X версії 10.6.2 або новішої версії, Mac OS X Server версії 10.6.2 або новішої версії, Windows 7, Vista, XP SP2 або новішої версії
Вплив: функція автозаповнення Safari може розкривати інформацію на вебсайтах без взаємодії з користувачем
Опис: функція автозаповнення Safari може автоматично заповнювати вебформи за допомогою призначеної інформації в адресній книзі Mac OS X, Outlook або адресній книзі Windows. Цю функцію розроблено таким чином, що для заповнення вебформи потрібна взаємодія з користувачем. Однак на етапі реалізації виникла проблема, яка дає шкідливим сайтам змогу запускати функцію автозаповнення без взаємодії з користувачем. Це може призвести до розкриття інформації, що міститься в адресній картці користувача. Загроза розкриття інформації виникає за двох умов. По-перше, у параметрах Safari в області «Автозаповнення вебформ:» має бути вибрано «З моєї картки в адресній книзі». По-друге, в адресній книзі користувача має бути картка «Моя картка». Функція автозаповнення використовує дані лише із цієї картки. Проблему вирішено завдяки забороні на використання інформації функцією автозаповнення без дозволу користувача. Ця проблема не стосується пристроїв iOS. Дякуємо користувачу Jeremiah Grossman із WhiteHat Security за повідомлення про цю проблему.
WebKit
CVE-ID: CVE-2010-1780
Доступно для: Mac OS X версії 10.4.11, Mac OS X Server версії 10.4.11, Mac OS X версії 10.5.8, Mac OS X Server версії 10.5.8, Mac OS X версії 10.6.2 або новішої версії, Mac OS X Server версії 10.6.2 або новішої версії, Windows 7, Vista, XP SP2 або новішої версії
Вплив: відвідування шкідливого вебсайту може призводити до несподіваного завершення роботи програми або виконання довільного коду
Опис: проблема використання після безкоштовного періоду під час обробки фокусу елементів у WebKit. Відвідування шкідливого сайту може призводити до несподіваного завершення роботи програми або виконання довільного коду. Проблему вирішено завдяки покращеній обробці фокусу елементів. Дякуємо користувачу Tony Chang із Google, Inc. за повідомлення про цю проблему.
WebKit
CVE-ID: CVE-2010-1782
Доступно для: Mac OS X версії 10.4.11, Mac OS X Server версії 10.4.11, Mac OS X версії 10.5.8, Mac OS X Server версії 10.5.8, Mac OS X версії 10.6.2 або новішої версії, Mac OS X Server версії 10.6.2 або новішої версії, Windows 7, Vista, XP SP2 або новішої версії
Вплив: відвідування шкідливого вебсайту може призводити до несподіваного завершення роботи програми або виконання довільного коду
Опис: проблема з пошкодженням пам’яті під час рендерингу вбудованих елементів у WebKit. Відвідування шкідливого сайту може призводити до несподіваного завершення роботи програми або виконання довільного коду. Проблему вирішено завдяки вдосконаленню перевірки меж. Дякуємо користувачу wushi з team509 за повідомлення про цю проблему.
WebKit
CVE-ID: CVE-2010-1783
Доступно для: Mac OS X версії 10.4.11, Mac OS X Server версії 10.4.11, Mac OS X версії 10.5.8, Mac OS X Server версії 10.5.8, Mac OS X версії 10.6.2 або новішої версії, Mac OS X Server версії 10.6.2 або новішої версії, Windows 7, Vista, XP SP2 або новішої версії
Вплив: відвідування шкідливого вебсайту може призводити до несподіваного завершення роботи програми або виконання довільного коду
Опис: проблема з пошкодженням пам’яті під час обробки динамічних змін до текстових вузлів у WebKit. Відвідування шкідливого сайту може призводити до несподіваного завершення роботи програми або виконання довільного коду. Цю проблему вирішено завдяки впровадженню покращеного керування пам’яттю.
WebKit
CVE-ID: CVE-2010-1784
Доступно для: Mac OS X версії 10.4.11, Mac OS X Server версії 10.4.11, Mac OS X версії 10.5.8, Mac OS X Server версії 10.5.8, Mac OS X версії 10.6.2 або новішої версії, Mac OS X Server версії 10.6.2 або новішої версії, Windows 7, Vista, XP SP2 або новішої версії
Вплив: відвідування шкідливого вебсайту може призводити до несподіваного завершення роботи програми або виконання довільного коду
Опис: проблема з пошкодженням пам’яті під час обробки лічильників CSS у WebKit. Відвідування шкідливого сайту може призводити до несподіваного завершення роботи програми або виконання довільного коду. Цю проблему вирішено завдяки впровадженню покращеного керування пам’яттю. Дякуємо користувачу wushi of team509, який співпрацює з компанією TippingPoint у межах ініціативи Zero Day Initiative, за повідомлення про цю проблему.
WebKit
CVE-ID: CVE-2010-1785
Доступно для: Mac OS X версії 10.4.11, Mac OS X Server версії 10.4.11, Mac OS X версії 10.5.8, Mac OS X Server версії 10.5.8, Mac OS X версії 10.6.2 або новішої версії, Mac OS X Server версії 10.6.2 або новішої версії, Windows 7, Vista, XP SP2 або новішої версії
Вплив: відвідування шкідливого вебсайту може призводити до несподіваного завершення роботи програми або виконання довільного коду
Опис: проблема з неініціалізованим доступом до пам’яті під час обробки псевдоелементів «:first-letter» і «:first-line» у текстових елементах SVG у WebKit. Відвідування шкідливого сайту може призводити до несподіваного завершення роботи програми або виконання довільного коду. Проблему вирішено завдяки відмові від рендерингу псевдоелементів :first-letter та :first-line в елементах тексту SVG. Дякуємо користувачу wushi of team509, який співпрацює з компанією TippingPoint у межах ініціативи Zero Day Initiative, за повідомлення про цю проблему.
WebKit
CVE-ID: CVE-2010-1786
Доступно для: Mac OS X версії 10.4.11, Mac OS X Server версії 10.4.11, Mac OS X версії 10.5.8, Mac OS X Server версії 10.5.8, Mac OS X версії 10.6.2 або новішої версії, Mac OS X Server версії 10.6.2 або новішої версії, Windows 7, Vista, XP SP2 або новішої версії
Вплив: відвідування шкідливого вебсайту може призводити до несподіваного завершення роботи програми або виконання довільного коду
Опис: проблема використання після безкоштовного періоду під час обробки елементів foreignObject у документах SVG у WebKit. Відвідування шкідливого сайту може призводити до несподіваного завершення роботи програми або виконання довільного коду. Проблему вирішено завдяки додатковій перевірці документів SVG. Дякуємо користувачу wushi of team509, який співпрацює з компанією TippingPoint у межах ініціативи Zero Day Initiative, за повідомлення про цю проблему.
WebKit
CVE-ID: CVE-2010-1787
Доступно для: Mac OS X версії 10.4.11, Mac OS X Server версії 10.4.11, Mac OS X версії 10.5.8, Mac OS X Server версії 10.5.8, Mac OS X версії 10.6.2 або новішої версії, Mac OS X Server версії 10.6.2 або новішої версії, Windows 7, Vista, XP SP2 або новішої версії
Вплив: відвідування шкідливого вебсайту може призводити до несподіваного завершення роботи програми або виконання довільного коду
Опис: проблема з пошкодженням пам’яті під час обробки плаваючих елементів у документах SVG у WebKit. Відвідування шкідливого сайту може призводити до несподіваного завершення роботи програми або виконання довільного коду. Цю проблему вирішено завдяки впровадженню покращеного керування пам’яттю. Дякуємо користувачу wushi of team509, який співпрацює з компанією TippingPoint у межах ініціативи Zero Day Initiative, за повідомлення про цю проблему.
WebKit
CVE-ID: CVE-2010-1788
Доступно для: Mac OS X версії 10.4.11, Mac OS X Server версії 10.4.11, Mac OS X версії 10.5.8, Mac OS X Server версії 10.5.8, Mac OS X версії 10.6.2 або новішої версії, Mac OS X Server версії 10.6.2 або новішої версії, Windows 7, Vista, XP SP2 або новішої версії
Вплив: відвідування шкідливого вебсайту може призводити до несподіваного завершення роботи програми або виконання довільного коду
Опис: проблема з пошкодженням пам’яті під час обробки елементів use у документах SVG у WebKit. Відвідування шкідливого сайту може призводити до несподіваного завершення роботи програми або виконання довільного коду. Проблему вирішено завдяки покращеній обробці елементів use у документах SVG. Дякуємо користувачу Justin Schuh із Google, Inc. за повідомлення про цю проблему.
WebKit
CVE-ID: CVE-2010-1789
Доступно для: Mac OS X версії 10.4.11, Mac OS X Server версії 10.4.11, Mac OS X версії 10.5.8, Mac OS X Server версії 10.5.8, Mac OS X версії 10.6.2 або новішої версії, Mac OS X Server версії 10.6.2 або новішої версії, Windows 7, Vista, XP SP2 або новішої версії
Вплив: відвідування шкідливого вебсайту може призводити до несподіваного завершення роботи програми або виконання довільного коду
Опис: переповнення буфера на основі купи під час обробки об’єктів рядків JavaScript у WebKit. Відвідування шкідливого сайту може призводити до несподіваного завершення роботи програми або виконання довільного коду. Проблему вирішено завдяки вдосконаленню перевірки меж. Подяка: Apple.
WebKit
CVE-ID: CVE-2010-1790
Доступно для: Mac OS X версії 10.4.11, Mac OS X Server версії 10.4.11, Mac OS X версії 10.5.8, Mac OS X Server версії 10.5.8, Mac OS X версії 10.6.2 або новішої версії, Mac OS X Server версії 10.6.2 або новішої версії, Windows 7, Vista, XP SP2 або новішої версії
Вплив: відвідування шкідливого вебсайту може призводити до несподіваного завершення роботи програми або виконання довільного коду
Опис: проблема з повторним входом під час обробки вчасно скомпільованих корінних елементів JavaScript у WebKit. Відвідування шкідливого сайту може призводити до несподіваного завершення роботи програми або виконання довільного коду. Проблему вирішено завдяки покращеній синхронізації.
WebKit
CVE-ID: CVE-2010-1791
Доступно для: Mac OS X версії 10.4.11, Mac OS X Server версії 10.4.11, Mac OS X версії 10.5.8, Mac OS X Server версії 10.5.8, Mac OS X версії 10.6.2 або новішої версії, Mac OS X Server версії 10.6.2 або новішої версії, Windows 7, Vista, XP SP2 або новішої версії
Вплив: відвідування шкідливого вебсайту може призводити до несподіваного завершення роботи програми або виконання довільного коду
Опис: проблема з підписом під час обробки масивів JavaScript у WebKit. Відвідування шкідливого сайту може призводити до несподіваного завершення роботи програми або виконання довільного коду. Проблему вирішено завдяки покращеній обробці індексів масивів JavaScript. Дякуємо користувачу Natalie Silvanovich за повідомлення про цю проблему.
WebKit
CVE-ID: CVE-2010-1792
Доступно для: Mac OS X версії 10.4.11, Mac OS X Server версії 10.4.11, Mac OS X версії 10.5.8, Mac OS X Server версії 10.5.8, Mac OS X версії 10.6.2 або новішої версії, Mac OS X Server версії 10.6.2 або новішої версії, Windows 7, Vista, XP SP2 або новішої версії
Вплив: відвідування шкідливого вебсайту може призводити до несподіваного завершення роботи програми або виконання довільного коду
Опис: проблема з пошкодженням пам’яті під час обробки регулярних виразів у WebKit. Відвідування шкідливого сайту може призводити до несподіваного завершення роботи програми або виконання довільного коду. Проблему вирішено завдяки покращеній обробці регулярних виразів. Дякуємо користувачу Peter Varga із Сегедського університету за повідомлення про цю проблему.
WebKit
CVE-ID: CVE-2010-1793
Доступно для: Mac OS X версії 10.4.11, Mac OS X Server версії 10.4.11, Mac OS X версії 10.5.8, Mac OS X Server версії 10.5.8, Mac OS X версії 10.6.2 або новішої версії, Mac OS X Server версії 10.6.2 або новішої версії, Windows 7, Vista, XP SP2 або новішої версії
Вплив: відвідування шкідливого вебсайту може призводити до несподіваного завершення роботи програми або виконання довільного коду
Опис: проблема використання після безкоштовного періоду під час обробки елементів font-face та use у документах SVG у WebKit. Відвідування шкідливого сайту може призводити до несподіваного завершення роботи програми або виконання довільного коду. Проблему вирішено завдяки покращеній обробці елементів font-face і use у документах SVG. Дякуємо користувачу Aki Helin з OUSPG за повідомлення про цю проблему.
Важливо. Згадування сторонніх вебсайтів і продуктів призначене лише для інформаційних цілей та не є ні заявою про підтримку, ні рекомендацією. Apple не несе відповідальності за вибір, продуктивність чи використання інформації або продуктів зі сторонніх вебсайтів. Apple надає цю інформацію лише для зручності наших користувачів. Компанія Apple не перевіряла інформацію, знайдену на цих вебсайтах, і не робить жодних заяв щодо її точності або надійності. Використання будь-якої інформації або продуктів, знайдених в інтернеті, пов’язане з ризиком, і Apple не несе жодної відповідальності щодо цього. Пам’ятайте, що сторонній вебсайт існує незалежно від Apple, і Apple не контролює вміст такого вебсайту. Зв’яжіться з постачальником послуг, щоб отримати додаткову інформацію.