Відомості про проблеми системи безпеки, які усунено в оновленні Safari 4.0.5

У цьому документі описано проблеми системи безпеки, які усунено в оновленні Safari 4.0.5.

Щоб захистити клієнтів, Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки повністю не завершено вивчення відповідної проблеми та не опубліковано необхідні виправлення або нові випуски. Щоб дізнатися більше про засоби безпеки продуктів Apple, відвідайте вебсайт, присвячений безпеці продуктів Apple.

Інформацію про використання PGP-ключа безпеки продуктів Apple наведено на сторінці «Як використовувати PGP-ключ безпеки продуктів Apple».

Якщо можливо, для отримання подальшої інформації про вразливості використовуються ідентифікатори CVE.

Про інші оновлення системи безпеки розказано в статті «Випуски безпеки Apple».

Safari 4.0.5

  • ColorSync

    Ідентифікатор CVE: CVE-2010-0040

    Цільові продукти: Windows 7, Vista, XP

    Вплив: перегляд шкідливого зображення з вбудованим колірним профілем може призвести до несподіваного завершення роботи програми чи виконання довільного коду.

    Опис: під час обробки зображень із вбудованим колірним профілем виникає цілочисельне переповнення, що може призводити до переповнення буфера динамічної пам’яті. Відкриття шкідливого зображення з вбудованим колірним профілем може призвести до несподіваного завершення роботи програми чи виконання довільного коду. Цю проблему усунено завдяки виконанню додаткової перевірки колірних профілів. Ця проблема не виникає в Mac OS X. Дякуємо Себастьяну Рено (Sebastien Renaud) з VUPEN Vulnerability Research Team за повідомлення про цю проблему.

  • ImageIO

    Ідентифікатор CVE: CVE-2009-2285

    Цільові продукти: Windows 7, Vista, XP

    Вплив: перегляд шкідливого зображення TIFF може призвести до несподіваного завершення роботи програми чи виконання довільного коду.

    Опис: обробка зображень TIFF в ImageIO недостатньо заповнює буфер. Перегляд шкідливого TIFF-зображення може призводити до несподіваного завершення роботи програми або виконання довільного коду. Проблему вирішено завдяки вдосконаленню перевірки меж. Для систем Mac OS X 10.6 цю проблему усунено в Mac OS X 10.6.2. Для систем Mac OS X 10.5 цю проблему усунено в оновленні системи безпеки 2010-001.

  • ImageIO

    Ідентифікатор CVE: CVE-2010-0041

    Цільові продукти: Windows 7, Vista, XP

    Вплив: відвідування шкідливого вебсайту може призвести до надсилання даних із пам’яті Safari цьому вебсайту.

    Опис: під час обробки зображень BMP в ImageIO виникає проблема неініціалізованого доступу до пам’яті. Відвідування шкідливого вебсайту може призвести до надсилання даних із пам’яті Safari цьому вебсайту. Цю проблему усунено завдяки поліпшенню обробки звернень до пам’яті й додатковій перевірці зображень BMP. Дякуємо користувачу Matthew 'j00ru' Jurczyk із Hispasec за повідомлення про цю проблему.

  • ImageIO

    Ідентифікатор CVE: CVE-2010-0042

    Цільові продукти: Windows 7, Vista, XP

    Вплив: відвідування шкідливого вебсайту може призвести до надсилання даних із пам’яті Safari цьому вебсайту.

    Опис: під час обробки зображень TIFF в ImageIO виникає проблема неініціалізованого доступу до пам’яті. Відвідування шкідливого вебсайту може призвести до надсилання даних із пам’яті Safari цьому вебсайту. Цю проблему усунено завдяки поліпшенню обробки звернень до пам’яті й додатковій перевірці зображень TIFF. Дякуємо користувачу Matthew 'j00ru' Jurczyk із Hispasec за повідомлення про цю проблему.

  • ImageIO

    Ідентифікатор CVE: CVE-2010-0043

    Цільові продукти: Windows 7, Vista, XP

    Вплив: обробка шкідливого зображення TIFF може призвести до несподіваного завершення роботи програми чи виконання довільного коду.

    Опис: під час обробки зображень TIFF виникає проблема пошкодження пам’яті. Обробка шкідливого зображення TIFF може призвести до несподіваного завершення роботи програми чи виконання довільного коду. Цю проблему усунено завдяки поліпшенню обробки звернень до пам’яті. Дякуємо Гасу Мюллеру (Gus Mueller) із Flying Meat за повідомлення про цю проблему.

  • PubSub

    Ідентифікатор CVE: CVE-2010-0044

    Цільові продукти: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 або пізніших версій, Mac OS X Server 10.6.1 або пізніших версій, Windows 7, Vista, XP

    Вплив: відвідування чи оновлення стрічки може призвести до встановлення файлу cookie, навіть якщо Safari налаштовано на блокування файлів cookie.

    Опис: під час обробки файлів cookie, установлених стрічками RSS і Atom, виникає проблема з реалізацією. Відвідування чи оновлення стрічки може призвести до встановлення файлу cookie, навіть якщо Safari налаштовано на блокування файлів cookie за допомогою параметра прийняття файлів cookie. Це оновлення усуває проблему завдяки дотриманню налаштування даного параметра під час оновлення чи перегляду стрічок.

  • Safari

    Ідентифікатор CVE: CVE-2010-0045

    Цільові продукти: Windows 7, Vista, XP

    Вплив: відвідування шкідливого вебсайту може призвести до виконання довільного коду.

    Опис: проблема, яка пов’язана з обробкою зовнішніх схем URL-адрес у Safari, може призвести до відкриття локального файлу у відповідь на URL-адресу, що зустрічається на вебсторінці. Відвідування шкідливого сайту може призводити до виконання довільного коду. Це оновлення усуває проблему завдяки поліпшенню перевірки зовнішніх URL-адрес. Ця проблема не виникає в Mac OS X. Дякуємо Біллі Ріосу (Billy Rios) і Microsoft Vulnerability Research (MSVR) за повідомлення про цю проблему.

  • WebKit

    Ідентифікатор CVE: CVE-2010-0046

    Цільові продукти: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 або пізніших версій, Mac OS X Server 10.6.1 або пізніших версій, Windows 7, Vista, XP

    Вплив: відвідування шкідливого вебсайту може призвести до несподіваного завершення роботи програми чи виконання довільного коду.

    Опис: під час обробки аргументів CSS format() у WebKit виникає проблема пошкодження пам’яті. Відвідування шкідливого сайту може призводити до несподіваного завершення роботи програми або виконання довільного коду. Цю проблему усунено завдяки поліпшенню обробки аргументів CSS format(). Дякуємо Роберту Свєцкі (Robert Swiecki) із Google Inc. за повідомлення про цю проблему.

  • WebKit

    Ідентифікатор CVE: CVE-2010-0047

    Цільові продукти: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 або пізніших версій, Mac OS X Server 10.6.1 або пізніших версій, Windows 7, Vista, XP

    Вплив: відвідування шкідливого вебсайту може призвести до несподіваного завершення роботи програми чи виконання довільного коду.

    Опис: під час обробки вмісту для відкочення елементів об’єкта HTML виникає проблема Use-After-Free. Відвідування шкідливого сайту може призводити до несподіваного завершення роботи програми або виконання довільного коду. Цю проблему усунено завдяки поліпшенню відстеження звернень до пам’яті. Дякуємо користувачу wushi of team509, який співпрацює з компанією TippingPoint у межах ініціативи Zero Day Initiative, за повідомлення про цю проблему.

  • WebKit

    Ідентифікатор CVE: CVE-2010-0048

    Цільові продукти: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 або пізніших версій, Mac OS X Server 10.6.1 або пізніших версій, Windows 7, Vista, XP

    Вплив: відвідування шкідливого вебсайту може призвести до несподіваного завершення роботи програми чи виконання довільного коду.

    Опис: під час аналізу документів XML у WebKit виникає проблема Use-After-Free. Відвідування шкідливого сайту може призводити до несподіваного завершення роботи програми або виконання довільного коду. Цю проблему усунено завдяки поліпшенню відстеження звернень до пам’яті. Дякуємо користувачу wushi of team509, який співпрацює з компанією TippingPoint у межах ініціативи Zero Day Initiative, за повідомлення про цю проблему.

  • WebKit

    Ідентифікатор CVE: CVE-2010-0049

    Цільові продукти: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 або пізніших версій, Mac OS X Server 10.6.1 або пізніших версій, Windows 7, Vista, XP

    Вплив: відвідування шкідливого вебсайту може призвести до несподіваного завершення роботи програми чи виконання довільного коду.

    Опис: під час обробки елементів HTML, що містять текст, який відображається справа наліво, виникає проблема Use-After-Free. Відвідування шкідливого сайту може призводити до несподіваного завершення роботи програми або виконання довільного коду. Цю проблему усунено завдяки поліпшенню відстеження звернень до пам’яті. Дякуємо користувачу wushi of team509, який співпрацює з компанією TippingPoint у межах ініціативи Zero Day Initiative, за повідомлення про цю проблему.

  • WebKit

    Ідентифікатор CVE: CVE-2010-0050

    Цільові продукти: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 або пізніших версій, Mac OS X Server 10.6.1 або пізніших версій, Windows 7, Vista, XP

    Вплив: відвідування шкідливого вебсайту може призвести до несподіваного завершення роботи програми чи виконання довільного коду.

    Опис: під час обробки неправильно вкладених тегів HTML у WebKit виникає проблема Use-After-Free. Відвідування шкідливого сайту може призводити до несподіваного завершення роботи програми або виконання довільного коду. Цю проблему усунено завдяки поліпшенню відстеження звернень до пам’яті. Дякуємо користувачу wushi of team509, який співпрацює з компанією TippingPoint у межах ініціативи Zero Day Initiative, за повідомлення про цю проблему.

  • WebKit

    Ідентифікатор CVE: CVE-2010-0051

    Цільові продукти: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 або пізніших версій, Mac OS X Server 10.6.1 або пізніших версій, Windows 7, Vista, XP

    Вплив: відвідування шкідливого вебсайту може призвести до розкриття конфіденційної інформації.

    Опис: під час обробки запитів до таблиць стилів із перехресними джерелами у WebKit виникає проблема з реалізацією. Відвідування шкідливого вебсайту може розкрити вміст захищених ресурсів на іншому вебсайті. Це оновлення усуває проблему завдяки виконанню додаткової перевірки таблиць стилів, які завантажуються під час запитів із перехресними джерелами.

  • WebKit

    Ідентифікатор CVE: CVE-2010-0052

    Цільові продукти: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 або пізніших версій, Mac OS X Server 10.6.1 або пізніших версій, Windows 7, Vista, XP

    Вплив: відвідування шкідливого вебсайту може призвести до несподіваного завершення роботи програми чи виконання довільного коду.

    Опис: під час обробки зворотних викликів для елементів HTML у WebKit виникає проблема Use-After-Free. Відвідування шкідливого сайту може призводити до несподіваного завершення роботи програми або виконання довільного коду. Цю проблему усунено завдяки поліпшенню відстеження звернень до пам’яті. Подяка: Apple.

  • WebKit

    Ідентифікатор CVE: CVE-2010-0053

    Цільові продукти: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 або пізніших версій, Mac OS X Server 10.6.1 або пізніших версій, Windows 7, Vista, XP

    Вплив: відвідування шкідливого вебсайту може призвести до несподіваного завершення роботи програми чи виконання довільного коду.

    Опис: під час рендерингу вмісту з встановленим для властивості CSS display значенням «run-in» виникає проблема Use-After-Free. Відвідування шкідливого сайту може призводити до несподіваного завершення роботи програми або виконання довільного коду. Цю проблему усунено завдяки поліпшенню відстеження звернень до пам’яті. Дякуємо користувачу wushi of team509, який співпрацює з компанією TippingPoint у межах ініціативи Zero Day Initiative, за повідомлення про цю проблему.

  • WebKit

    Ідентифікатор CVE: CVE-2010-0054

    Цільові продукти: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 або пізніших версій, Mac OS X Server 10.6.1 або пізніших версій, Windows 7, Vista, XP

    Вплив: відвідування шкідливого вебсайту може призвести до несподіваного завершення роботи програми чи виконання довільного коду.

    Опис: під час обробки елементів зображення HTML у WebKit виникає проблема Use-After-Free. Відвідування шкідливого сайту може призводити до несподіваного завершення роботи програми або виконання довільного коду. Цю проблему усунено завдяки поліпшенню відстеження звернень до пам’яті. Подяка: Apple.

Важливо. Відомості про продукти, які не виготовлено компанією Apple, надаються лише в інформаційних цілях і не є рекомендацією чи заявою про підтримку компанією Apple. Зв’яжіться з постачальником послуг, щоб отримати додаткову інформацію.

Дата опублікування: