Tietoja Safari 3.1.2:n Windows-version turvallisuussisällöstä

Tässä asiakirjassa kerrotaan asetusten Ohjelmiston päivitys -kohdasta tai Applen lataussivustosta ladattavan ja asennettavan Safari 3.1.2:n Windows-version turvallisuussisällöstä.

Apple haluaa suojella asiakkaitaan eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

Safari 3.1.2:n Windows-versio

Safari

CVE-ID: CVE-2008-1573

Saatavuus: Windows XP tai Vista

Vaikutus: haitallisen BMP- tai GIF-kuvan avaaminen saattoi aiheuttaa tietojen paljastumisen.

Kuvaus: BMP- ja GIF-kuvien käsittelyssä saattoi tapahtua rajojen ulkopuolisen muistin lukemista, mikä voi johtaa muistin sisällön paljastumiseen. Päivitys ratkaisee ongelman suorittamalla BMP- ja GIF-kuville lisätarkistuksen. Ongelma on ratkaistu järjestelmissä, joissa on käytössä Mac OS X 10.5.3, ja Mac OS X 10.4.11:ssa, johon on asennettu suojauspäivitys 2008-003. Kiitos Hispasecin Gynvael Coldwindille ongelman ilmoittamisesta.

Safari

CVE-ID: CVE-2008-2540

Saatavuus: Windows XP tai Vista

Vaikutus: ei-luotettujen tiedostojen tallentaminen Windowsin työpöydälle saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Windowsin työpöydälle tallennettujen suoritettavien tiedostojen käsittelyssä oli ongelma. Ei-luotetun tiedoston tallentaminen Windowsin työpöydälle saattoi aiheuttaa ongelman ja johtaa mielivaltaisen koodin suorittamiseen. Verkkoselaimet mahdollistavat tiedostojen tallentamisen työpöydälle. Ongelman lieventämiseksi Safari-selainta on päivitetty siten, että käyttäjältä kysytään ennen ladattujen tiedostojen tallentamista. Lisäksi oletuslataussijainti muutetaan Windows Vistassa käyttäjän Lataukset-kansioksi ja Windows XP:ssä käyttäjän Dokumentit-kansioksi. Ongelmaa ei ole Mac OS X:ää käyttävissä järjestelmissä. Lisätietoja on saatavissa osoitteessa http://www.microsoft.com/technet/security/advisory/953818.mspx, jossa kiitetään Aviv Raffia ongelman ilmoittamisesta.

Safari

CVE-ID: CVE-2008-2306

Saatavuus: Windows XP tai Vista

Vaikutus: vieraileminen luotetulla Internet Explorer -alueella olevassa haitallisessa verkkosivustossa saattoi johtaa mielivaltaisen koodin automaattiseen suorittamiseen.

Kuvaus: Jos verkkosivusto on Internet Explorer 7:n alueella, jossa Käynnistävät ohjelmat ja vaaralliset tiedostot -asetuksena on Ota käyttöön, tai jos verkkosivusto on Internet Explorer 6:n Paikallinen intranet- tai Luotetut sivustot -alueella, Safari käynnistää sivustosta ladatut suoritettavat tiedostot automaattisesti. Päivitys korjaa ongelman siten, että ladattuja suoritettavia tiedostoja ei käynnistetä automaattisesti ja että käyttäjältä kysytään ennen tiedoston lataamista, jos kysy aina -asetus on käytössä. Ongelmaa ei ole Mac OS X -järjestelmissä. Kiitos CERT/CC:n Will Dormannille ongelman ilmoittamisesta. Kiitos Microsoft Security Response Centerille yhteistyöstä ongelman ratkaisemisessa.

WebKit

CVE-ID: CVE-2008-2307

Saatavuus: Windows XP tai Vista

Vaikutus: haitallisessa verkkosivustossa käyminen saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

Kuvaus: WebKitin tavassa käsitellä JavaScript-matriiseja oli muistinvioittumisongelma. Haitallisessa verkkosivustossa käyminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Päivitys ratkaisee ongelman parantamalla rajojen tarkistusta. Kiitos James Urquhartille ongelman ilmoittamisesta.