Проблеми системи безпеки, які усунено в оновленні Safari 5.0.2 та Safari 4.1.2

У цьому документі описано проблеми системи безпеки, які усунено в оновленні Safari 5.0.2 та Safari 4.1.2.

Щоб захистити клієнтів, Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки повністю не завершено вивчення відповідної проблеми та не опубліковано необхідні виправлення або нові випуски. Щоб дізнатися більше про засоби безпеки продуктів Apple, відвідайте вебсайт, присвячений безпеці продуктів Apple.

Інформацію про використання PGP-ключа безпеки продуктів Apple наведено на сторінці «Як використовувати PGP-ключ безпеки продуктів Apple».

Якщо можливо, для отримання подальшої інформації про вразливості використовуються ідентифікатори CVE.

Щоб дізнатися про інші оновлення системи безпеки, перейдіть на сторінку «Випуски безпеки Apple».

Safari 5.0.2 та Safari 4.1.2

• Safari

  CVE-ID: CVE-2010-1805

  Цільові продукти: Windows 7, Vista, XP SP2 або новіші версії

  Вплив: відкриття файлу в каталозі, що доступний для записування іншим користувачам, може призвести до виконання довільного коду.

  Опис: у Safari виникає проблема зі шляхом пошуку. Під час відображення розташування завантаженого файлу Safari запускає Провідник Windows без вказівки повного шляху до виконуваного файлу. Запуск Safari за допомогою відкриття файлу в певному каталозі включає цей каталог у шлях пошуку. Спроба розкрити розташування завантаженого файлу може призвести до виконання програми, який міститься в цьому каталозі, що може призвести до виконання довільного коду. Цю проблему вирішено завдяки використанню прямого шляху пошуку під час запуску Провідника Windows. Ця проблема не виникає в Mac OS X. Дякуємо Simon Raner з ACROS Security за повідомлення про цю проблему.

• WebKit

  CVE-ID: CVE-2010-1807

  Цільові продукти: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 або новіші версії, Mac OS X Server 10.6.2 або новіші версії, Windows 7, Vista, XP SP2 або новіші версії

  Вплив: відвідування шкідливого вебсайту може призвести до несподіваного завершення роботи програми чи виконання довільного коду.

  Опис: під час обробки типів даних із плаваючою комою WebKit виникає проблема з перевіркою введення. Відвідування шкідливого сайту може призводити до несподіваного завершення роботи програми або виконання довільного коду. Цю проблему вирішено завдяки впровадженню покращеної перевірки значень із плаваючою комою. Дякуємо Luke Wagner із Mozilla за повідомлення про цю проблему.

• WebKit

  CVE-ID: CVE-2010-1806

  Цільові продукти: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 або новіші версії, Mac OS X Server 10.6.2 або новіші версії, Windows 7, Vista, XP SP2 або новіші версії

  Вплив: відвідування шкідливого вебсайту може призвести до несподіваного завершення роботи програми чи виконання довільного коду.

  Опис: під час обробки WebKit вхідних елементів виникає проблема використання даних після вивільнення пам’яті. Відвідування шкідливого сайту може призводити до несподіваного завершення роботи програми або виконання довільного коду. Цю проблему усунено завдяки поліпшенню обробки вказівників на об’єкт. Дякуємо користувачу wushi of team509, який співпрацює з компанією TippingPoint у межах ініціативи Zero Day Initiative, за повідомлення про цю проблему.