This article has been archived and is no longer updated by Apple.

מידע על תוכן האבטחה של Safari 5.0 ושל Safari 4.1

מסמך זה מתאר את תוכן האבטחה של Safari 5.0 ושל Safari 4.1.

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד לביצוע חקירה מלאה בנושא ולהפצת מהדורות או רכיבי Patch חיוניים. למידע נוסף בנושא אבטחת מוצר של Apple, עיינו באתר האינטרנט אבטחת מוצר של Apple.

למידע על מפתח PGP לאבטחת מוצר של Apple, עיינו בנושא "כיצד להשתמש במפתח PGP לאבטחת מוצר של Apple".

היכן שניתן, מזהי CVE משמשים כסימוכין לפגיעויות לצורך קבלת מידע נוסף.

כדי ללמוד על עדכוני אבטחה נוספים, עיינו בנושא "עדכוני אבטחה של Apple."

Safari 5.0

  • ColorSync

    CVE-ID‏: CVE-2009-1726

    זמין עבור: Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    השפעה: הצגה של תמונה בעלת מבנה זדוני עם פרופיל ColorSync מוטבע עלולה לגרום לסגירה לא צפויה של היישום או להפעלת קוד שרירותי

    תיאור: גלישת חוצץ בערימה קיימת בטיפול בתמונות עם פרופיל ColorSync מוטבע. הצגת תמונה בעלת מבנה זדוני עם פרופיל ColorSync מוטבע עלולה לגרום לסגירה לא צפויה של היישום או להפעלת קוד שרירותי. הבעיה נפתרה באמצעות אימות משופר של פרופילי ColorSync. תודה ל-Chris Evans מ-Google Security Team ול-Andrzej Dyjak שדיווחו על הבעיה.

  • ImageIO

    CVE-ID‏: CVE-2010-1411

    זמין עבור: Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    השפעה: פתיחת קובץ PDF שנוצר באופן זדוני עלולה להוביל לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי.

    תיאור: גלישות מספרים שלמים מרובים בטיפול בקובצי TIFF עלולות לגרום לגלישת חוצץ בערימה. פתיחת קובץ TIFF בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. הבעיות טופלו באמצעות בדיקת טווח משופרת. תודה ל-Kevin Finisterre מ-digitalmunition.com שדיווח על בעיות אלה.

  • Safari

    CVE-ID: CVE-2010-1384

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    השפעה: כתובת URL בעלת מבנה זדוני עלולה להיות מנוסחת באופן מעורפל ומבלבל, כך שמתקפות דיוג יצליחו יותר

    תיאור: Safari תומך בהכללה של פרטי המשתמש בכתובות URL, ובאופן זה כתובת URL יכולה לכלול פרטי שם משתמש וסיסמה לאימות של המשתמש בשרת בעל השם. כתובות URL אלו לרוב משמשות כדי לבלבל את המשתמשים, ומצב זה עשוי לסייע במתקפות דיוג. Safari עודכן כדי להציג אזהרה לפני ניווט לכתובות URL מסוג HTTP או HTTPS המכילות מידע של המשתמשים. תודה ל-Abhishek Arya מ-Google Inc.‎ על הדיווח על הבעיה.

  • Safari

    ‏CVE-ID: CVE-2010-1385

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7,‏ Windows Vista‏, Windows XP SP2 ואילך

    השפעה: ביקור באתר בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת בעיה של use after free בטיפול של Safari בקובצי PDF. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. הבעיה נפתרה באמצעות טיפול משופר בקובצי PDF. תודה ל-Borja Marcos מ-Sarenet על הדיווח על בעיה זו.

  • Safari

    CVE-ID: CVE-2010-1750

    זמין עבור: Windows 7, ‏Windows Vista, ‏Windows XP SP2 ואילך

    השפעה: גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת בעיית שימוש לאחר שחרור בניהול החלונות של Safari. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. בעיה זו טופלה באמצעות ניהול חלונות משופר. בעיה זו אינה משפיעה על מערכות Mac OS X.

  • WebKit

    CVE-ID: CVE-2010-1388

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך

    השפעה: גרירה או הדבקה של קישורים או תמונות עלולה להוביל לחשיפת מידע

    תיאור: קיימת בעיית הטמעה בטיפול של WebKit בכתובות URL בלוח. ביקור באתר אינטרנט בעל מבנה זדוני וגרירה או הדבקה של קישורים או תמונות עלולים לשלוח קבצים מהמערכת של המשתמש לשרת מרוחק. בעיה זו טופלה באמצעות אימות נוסף של כתובות URL בלוח. בעיה זו אינה משפיעה על מערכות Windows. תודה ל-Eric Seidel מ-Google Inc.‎ על הדיווח על הבעיה.

  • WebKit

    CVE-ID: CVE-2010-1389

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    השפעה: גרירה או הדבקה של בחירה עלולה להוביל למתקפת סקריפטים בין אתרים

    תיאור: גרירה או הדבקה של בחירה מאתר אחד לאחר עלולות לאפשר הפעלה של הסקריפטים הכלולים בבחירה בהקשר של האתר החדש. בעיה זו מטופלת באמצעות אימות נוסף של התוכן לפני ביצוע פעולות של הדבקה או גרירה ושחרור. תודה ל-Paul Stone מ-Context Information Security על הדיווח על הבעיה.

  • WebKit

    CVE-ID: CVE-2010-1390

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7, ‏Windows Vista, ‏Windows XP SP2 ואילך

    השפעה: ביקור באתר אינטרנט המשתמש בקידוד UTF-7 כלול להוביל למתקפת סקריפטים בין אתרים

    תיאור: קיימת בעיית קנוניקליזציה בטיפול של WebKit בטקסט עם קידוד UTF-7. מחרוזת HTML בין מירכאות עלולה להישאר ללא סיום, וכתוצאה מכך להוביל למתקפת סקריפטים בין אתרים או לבעיות אחרות. בעיה זו מטופלת על-ידי הסרת התמיכה בקידוד UTF-7 ב-WebKit. תודה ל-Masahiro Yamada על הדיווח על הבעיה.

  • WebKit

    CVE-ID: CVE-2010-1391

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    השפעה: ביקור באתר בעל מבנה זדוני עלול להוביל לכך שקבצים ייווצרו במיקומים שרירותיים שניתנים לכתיבה על-ידי משתמשים

    תיאור: קיימת בעיית חציית נתיב בתמיכה של WebKit באחסון מקומי ובמסדי נתונים של SQL ברשת. אם ניגשים לאתר אינטרנט בעל מבנה זדוני מתוך סכימה המוגדרת על-ידי היישום שמכילה '%2f' (/) או '%5c' (\) וגם '..' במקטע המארח של כתובת ה-URL, אתר זה עלול לגרום ליצירה של קובצי מסד נתונים מחוץ לספריה הייעודית. בעיה זו מטופלת באמצעות תווי קידוד שעשויה להיות להם משמעות מיוחדת בשמות נתיבים. בעיה זו אינה משפיעה על אתרים המקבלים שירות מסכימות http:‎ או https:‎. קרדיט: Apple.

  • WebKit

    ‏CVE-ID: CVE-2010-1392

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7,‏ Windows Vista‏, Windows XP SP2 ואילך

    השפעה: ביקור באתר בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת בעיה של use after free בעיבוד של לחצני PDF על-ידי WebKit. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. בעיה זו טופלה באמצעות ניהול זיכרון משופר. תודה ל-Matthieu Bonetti מ-VUPEN Vulnerability Research Team, ול-wushi מ-team509 שעובד עם Zero Day Initiative של TippingPoint על הדיווח על הבעיה.

  • WebKit

    CVE-ID: CVE-2010-1393

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    השפעה: ביקור באתר בעל מבנה זדוני עלול להוביל לחשיפת מידע

    תיאור: קיימת בעיית חשיפת מידע בטיפול של WebKit בגיליונות סגנון מדורגים. אם מאפיין HREF של גיליון סגנון מוגדר לכתובת URL שגורמת לניתוב מחדש, ייתכן שהסקריפטים בדף יוכלו לגשת לכתובת ה-URL שאליה בוצע ניתוב מחדש. ביקור באתר אינטרנט בעל מבנה זדוני עלול להוביל לחשיפת כתובות URL רגישות באתר אחר. בעיה זו מטופלת על-ידי החזרת כתובת ה-URL המקורית לסקריפטים, במקום כתובת ה-URL שאליה בוצע ניתוב מחדש.

  • WebKit

    ‏CVE-ID: CVE-2010-1119

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.1 ואילך, Mac OS X Server v10.6.1 ואילך, Windows 7,‏ Windows Vista‏, Windows XP SP2 ואילך

    השפעה: ביקור באתר בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת בעיה של use after free בטיפול של WebKit במניפולציית מאפיינים. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. בעיה זו נפתרה באמצעות מעקב משופר אחר ההפניה לזיכרון. תודה ל-Vincenzo Iozzo ול-Ralf Philipp Weinmann שעובדים עם Zero Day Initiative של TippingPoint, ול-Michal Zalewski מ-Google, Inc.‎, על הדיווח על הבעיה.

  • WebKit

    CVE-ID: CVE-2010-1394

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    השפעה: ביקור באתר אינטרנט בעל מבנה זדוני עלול להוביל למתקפת סקריפטים בין אתרים

    תיאור: קיימת בעיית עיצוב בטיפול של WebKit במקטעים של מסמכי HTML. תוכן המקטעים של מסמכי ה-HTML מעובד לפני שמקטע מסוים מתווסף למסמך בפועל. ביקור באתר אינטרנט בעל מבנה זדוני עלול להוביל למתקפת סקריפטים בין אתרים אם אתר אינטרנט לגיטימי ינסה לבצע מניפולציה על מקטע מסמך שמכיל נתונים לא מהימנים. בעיה זו מטופלת על-ידי וידוא שעיבוד המבנה של המקטע הראשוני לא גורם לתופעות לוואי במסמך שיצר את המקטע. תודה ל-Eduardo Vela Nava ‏(sirdarckcat) מ-Google Inc.‎ על הדיווח על הבעיה.

  • WebKit

    CVE-ID: CVE-2010-1422

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    השפעה: אינטראקציה עם אתר אינטרנט בעל מבנה זדוני עלולה להוביל לפעולות לא צפויות באתרים אחרים

    תיאור: קיימת בעיית הטמעה בטיפול של WebKit במיקוד במקלדת. אם המיקוד במקלדת משתנה במהלך העיבוד של הקשות על מקשים, WebKit עלול להעביר אירוע למסגרת החדשה שבה יש מיקוד, במקום למסגרת שבה היה מיקוד כשהתרחשה ההקשה על המקש. אתר אינטרנט בעל מבנה זדוני עלול להצליח להערים על משתמש ולגרום לו לבצע פעולה לא צפויה, למשל להתחיל רכישה. בעיה זו מטופלת על-ידי מניעת ההעברה של אירועי הקשה על מקשים כאשר המיקוד במקלדת משתנה במהלך העיבוד. תודה ל-Michal Zalewski מ-Google, Inc.‎ על הדיווח על הבעיה.

  • WebKit

    CVE-ID: CVE-2010-1395

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    השפעה: ביקור באתר זדוני עלול להוביל למתקפת סקריפטים בין אתרים

    תיאור: קיימת בעיית ניהול טווח בטיפול של WebKit באובייקטי בנייה של DOM. ביקור באתר זדוני עלול להוביל למתקפת סקריפטים בין אתרים. הבעיה מטופלת באמצעות טיפול משופר באובייקטי בנייה של DOM. תודה ל-Gianni "gf3" Chiappetta מ-Runlevel6 על הדיווח על הבעיה.

  • WebKit

    ‏CVE-ID: CVE-2010-1396

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7,‏ Windows Vista‏, Windows XP SP2 ואילך

    השפעה: ביקור באתר בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת בעיה של use after free בטיפול של WebKit בהסרה של רכיבי גורם מכיל. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. בעיה זו נפתרה באמצעות מעקב משופר אחר ההפניה לזיכרון. תודה ל-wushi מ-team509, בעבודה עם Zero Day Initiative של TippingPoint, עבור הדיווח על הבעיה.

  • WebKit

    ‏CVE-ID: CVE-2010-1397

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7,‏ Windows Vista‏, Windows XP SP2 ואילך

    השפעה: ביקור באתר בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת בעיה של use after free בעיבוד של בחירה על-ידי WebKit כאשר הפריסה משתנה. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. הבעיה מטופלת באמצעות טיפול משופר בבחירות. תודה ל-wushi&Z מ-team509, בעבודה עם Zero Day Initiative של TippingPoint, על הדיווח על הבעיה.

  • WebKit

    CVE-ID: CVE-2010-1398

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    השפעה: ביקור באתר אינטרנט בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת בעיה של השחתת זיכרון בטיפול של WebKit בהכנסות של רשימות מסודרות. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. הבעיה מטופלת באמצעות טיפול משופר בהכנסות של רשימות. תודה ל-wushi מ-team509, בעבודה עם Zero Day Initiative של TippingPoint, עבור הדיווח על הבעיה.

  • WebKit

    ‏CVE-ID: CVE-2010-1399

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7,‏ Windows Vista‏, Windows XP SP2 ואילך

    השפעה: ביקור באתר בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת בעיית גישה לזיכרון לא מאותחל בטיפול של WebKit בשינויי בחירה ברכיבים הזנה בטופס. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. הבעיה מטופלת באמצעות טיפול משופר בבחירות. תודה ל-wushi מ-team509, בעבודה עם Zero Day Initiative של TippingPoint, עבור הדיווח על הבעיה.

  • WebKit

    ‏CVE-ID: CVE-2010-1400

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7,‏ Windows Vista‏, Windows XP SP2 ואילך

    השפעה: ביקור באתר בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת בעיה של use after free בטיפול של WebKit ברכיבי כתובית. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. הבעיה מטופלת באמצעות טיפול משופר ברכיבי כתובית. תודה ל-wushi מ-team509, בעבודה עם iDefense, על הדיווח על הבעיה.

  • WebKit

    ‏CVE-ID: CVE-2010-1401

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7,‏ Windows Vista‏, Windows XP SP2 ואילך

    השפעה: ביקור באתר בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת בעיה של use after free בטיפול של WebKit בפסאודו רכיב '‎:first-letter' בגיליונות סגנון מדורגים. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. בעיה זו מטופלת באמצעות טיפול משופר בפסאודו-רכיב '‎:first-letter'. תודה ל-wushi מ-team509, בעבודה עם Zero Day Initiative של TippingPoint, עבור הדיווח על הבעיה.

  • WebKit

    CVE-ID: CVE-2010-1402

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    השפעה: ביקור באתר בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת בעיה של שחרור כפול בטיפול של WebKit במאזינים לאירועים במסמכי SVG. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. הבעיה מטופלת באמצעות טיפול משופר במסמכי SVG. תודה ל-wushi מ-team509, בעבודה עם Zero Day Initiative של TippingPoint, עבור הדיווח על הבעיה.

  • WebKit

    ‏CVE-ID: CVE-2010-1403

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7,‏ Windows Vista‏, Windows XP SP2 ואילך

    השפעה: ביקור באתר בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת בעיה של גישה לזיכרון לא מאותחל בטיפול של WebKit ברכיבי 'use' במסמעי SVG. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. בעיה זו טופלה באמצעות טיפול משופר ברכיבי 'use' במסמכי SVG. תודה ל-wushi מ-team509, בעבודה עם Zero Day Initiative של TippingPoint, עבור הדיווח על הבעיה.

  • WebKit

    ‏CVE-ID: CVE-2010-1404

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7,‏ Windows Vista‏, Windows XP SP2 ואילך

    השפעה: ביקור באתר בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת בעיה של use after free בטיפול של WebKit במסמכי SVG עם רכיבי 'use' מרובים. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. בעיה זו טופלה באמצעות טיפול משופר ברכיבי 'use' במסמכי SVG. תודה ל-wushi מ-team509, בעבודה עם Zero Day Initiative של TippingPoint, עבור הדיווח על הבעיה.

  • WebKit

    CVE-ID: CVE-2010-1410

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    השפעה: ביקור באתר בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת בעיית השחתת זיכרון בטיפול של WebKit ברכיבי 'use' מקוננים במסמכי SVG. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. בעיה זו מטופלת באמצעות טיפול משופר ברכיבי 'use' מקוננים במסמכי SVG. תודה ל-Aki Helin מ-OUSPG על הדיווח על הבעיה.

  • WebKit

    ‏CVE-ID: CVE-2010-1749

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7,‏ Windows Vista‏, Windows XP SP2 ואילך

    השפעה: ביקור באתר בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת בעיה של use after free בטיפול של WebKit ברצפים של CSS. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. הבעיה מטופלת באמצעות טיפול משופר ברצפי CSS. תודה ל-wushi מ-team509, בעבודה עם Zero Day Initiative של TippingPoint, עבור הדיווח על הבעיה.

  • WebKit

    ‏CVE-ID: CVE-2010-1405

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7,‏ Windows Vista‏, Windows XP SP2 ואילך

    השפעה: ביקור באתר בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת בעיה של use after free בטיפול של WebKit ברכיבי HTML עם הצבה אנכית מותאמת אישית. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. בעיה זו נפתרה באמצעות מעקב משופר אחר ההפניה לזיכרון. תודה ל-Ojan Vafai מ-Google Inc.‎ על הדיווח על הבעיה.

  • WebKit

    CVE-ID: CVE-2010-1406

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    השפעה: ביקור באתר HTTPS שמנתב מחדש לאתר HTTP עלול להוביל לחשיפת מידע

    תיאור: כאשר מתבצעת הפניה של WebKit מאתר HTTPS לאתר HTTP, הכותרת של ה-Referer (הדף המפנה) מועברת לאתר ה-HTTP. מצב זה עלול להוביל לחשיפת מידע רגיש הכלול בכתובת ה-URL של אתר ה-HTTPS. בעיה זו מטופלת על-ידי אי-העברה של כותרת ה-Referer כאשר אתר HTTPS מפנה לאתר HTTP. תודה ל-Colin Percival מ-Tarsnap על הדיווח על הבעיה.

  • WebKit

    CVE-ID: CVE-2010-1408

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    השפעה: ביקור באתר בעל מבנה זדוני עלול להוביל לשליחה של נתונים שצוינו מרחוק ליציאות TCP שרירותיות

    תיאור: קיימת בעיית קטיעה נומרית בטיפול של WebKit בבקשות ליציאות TCP שאינן מוגדרות כברירת מחדל. ביקור באתר אינטרנט בעל מבנה זדוני עלול להוביל לשליחת נתונים שצוינו מרחוק ליציאות TCP שרירותיות. בעיה זו מטופלת על-ידי וידוא שמספרי היציאות נמצאים בטווח החוקי.

  • WebKit

    CVE-ID: CVE-2010-1409

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    השפעה: ביקור באתר בעל מבנה זדוני עלול לאפשר שליחה של נתונים שצוינו מרחוק לשרת IRC

    תיאור: היציאות הנפוצות של שירות IRC אינן כלולות ברשימת היציאות האסורות של WebKit. ביקור באתר אינטרנט בעל מבנה זדוני עלול לאפשר שליחה של נתונים שצוינו מרחוק אל שרת IRC. מצב זה עלול לגרום לשרת לבצע פעולות לא מכוונות בשמו של המשתמש. הבעיה מטופלת על-ידי הוספת היציאות המושפעות לרשימת היציאות האסורות של WebKit.

  • WebKit

    ‏CVE-ID: CVE-2010-1412

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7,‏ Windows Vista‏, Windows XP SP2 ואילך

    השפעה: ביקור באתר בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת בעיה של use after free בטיפול של WebKit באירועי ריחוף עם העכבר. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. הבעיה מטופלת באמצעות טיפול משופר באירועי ריחוף עם העכבר. תודה ל-Dave Bowker מ-davebowker.com על הדיווח על הבעיה.

  • WebKit

    CVE-ID: CVE-2010-1413

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    השפעה: הרשאות NTLM של משתמש עלולות להיחשף לתוקף 'אדם בתווך'

    תיאור: בנסיבות מסוימות, WebKit עלול לשלוח הרשאות NTLM כטקסט רגיל. מצב זה מאפשר לתוקף 'אדם בתווך' לראות את הרשאות ה-NTLM. הבעיה מטופלת באמצעות טיפול משופר בהרשאות ה- NTLM. קרדיט: Apple.

  • WebKit

    ‏CVE-ID: CVE-2010-1414

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7,‏ Windows Vista‏, Windows XP SP2 ואילך

    השפעה: ביקור באתר בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת בעיה של use after free בטיפול של WebKit בשיטת removeChild של DOM. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. הבעיה מטופלת באמצעות טיפול משופר בהסרת רכיב צאצא. תודה ל-Mark Dowd מ-Azimuth Security על הדיווח על בעיה זו.

  • WebKit

    CVE-ID: CVE-2010-1415

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    השפעה: ביקור באתר אינטרנט בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת בעיית ניצול לרעה של API בטיפול של WebKit בהקשרי libxml. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. הבעיה מטופלת באמצעות טיפול משופר באובייקטי הקשר של libxml. תודה ל-Aki Helin מ-OUSPG על הדיווח על הבעיה.

  • WebKit

    CVE-ID: CVE-2010-1416

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    השפעה: ביקור באתר אינטרנט בעל מבנה זדוני עלול להוביל לחשיפת תמונות מאתרים אחרים

    תיאור: קיימת בעיית לכידת תמונות בין אתרים ב-WebKit. באמצעות בד Canvas עם תבנית תמונת SVG, אתר אינטרנט בעל מבנה זדוני עלול לטעון וללכוד תמונה מאתר אינטרנט אחר. בעיה זו מטופלת על-ידי הגבלה של קריאת בדי ה-Canvas שמכילים תבניות שנטענו מאתרי אינטרנט אחרים. תודה ל-Chris Evans מ-Google Inc.‎ על הדיווח על הבעיה.

  • WebKit

    CVE-ID: CVE-2010-1417

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    השפעה: ביקור באתר בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת בעיית השחתת זיכרון בעיבוד שמבצע WebKit לתוכן HTML בעיצוב CSS עם מספר פסאודו-בוררים מסוג ‎:after. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. הבעיה מטופלת באמצעות טיפול משופר בעיבוד של תוכן HTML. תודה ל-Wushi מ-team509 על הדיווח על הבעיה.

  • WebKit

    CVE-ID: CVE-2010-1418

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    השפעה: ביקור באתר אינטרנט בעל מבנה זדוני עלול להוביל למתקפת סקריפטים בין אתרים

    תיאור: קיימת בעיית אימות קלט בטיפול של WebKit במאפיין src של רכיב המסגרת. מאפיין עם סכימת javascript ורווחים מובילים נחשב כחוקי. ביקור באתר אינטרנט בעל מבנה זדוני עלול להוביל למתקפת סקריפטים בין אתרים. עדכון זה מטפל בבעיה על-ידי אימות הולם של frame.src לפני ביטול ההפניה לכתובת ה-URL. תודה ל-Sergey Glazunov על הדיווח על הבעיה.

  • WebKit

    ‏CVE-ID: CVE-2010-1419

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7,‏ Windows Vista‏, Windows XP SP2 ואילך

    השפעה: ביקור באתר בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת בעיה של use after free בטיפול של WebKit בגרירה ושחרור כאשר החלון הפועל כמקור של פעולת גרירה נסגר לפני שפעולת הגרירה מסתיימת. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. בעיה זו טופלה באמצעות ניהול זיכרון משופר. תודה ל-kuzzcc, ול-Skylined מ-Google Chrome Security Team, על הדיווח על הבעיה.

  • WebKit

    CVE-ID: CVE-2010-1421

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    השפעה: ביקור באתר אינטרנט בעל מבנה זדוני עלול לשנות את תוכן הלוח

    תיאור: קיימת בעיית עיצוב בהטמעה של פונקציית ה-JavaScript ‏execCommand. דף אינטרנט בעל מבנה זדוני עלול לשנות את תוכן הלוח ללא אינטראקציה מצד המשתמש. בעיה זו מטופלת כאשר מאפשרים הפעלה של פקודות לוח רק אם המשתמש יוזם אותן. קרדיט: Apple.

  • WebKit

    CVE-ID: CVE-2010-0544

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    השפעה: ביקור באתר אינטרנט בעל מבנה זדוני עלול להוביל למתקפת סקריפטים בין אתרים

    תיאור: בעיה בטיפול של Webkit בכתובות URL בעלות מבנה לקוי עלולה לגרום למתקפת סקריפטים בין אתרים בעת ביקור באתר אינטרנט בעל מבנה זדוני. הבעיה מטופלת באמצעות טיפול משופר בכתובות URL. תודה ל-Michal Zalewski מ-Google, Inc.‎ על הדיווח על הבעיה.

  • WebKit

    ‏CVE-ID: CVE-2010-1758

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7,‏ Windows Vista‏, Windows XP SP2 ואילך

    השפעה: ביקור באתר בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת בעיה של use after free בטיפול של WebKit באובייקטי Range של DOM. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. הבעיה מטופלת באמצעות טיפול משופר באובייקטי Range של DOM. תודה ל-Yaar Schnitman מ-Google Inc.‎ על הדיווח על הבעיה.

  • WebKit

    ‏CVE-ID: CVE-2010-1759

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7,‏ Windows Vista‏, Windows XP SP2 ואילך

    השפעה: ביקור באתר בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת בעיה של use after free בטיפול של WebKit בשיטה Node.normalize. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. הבעיה מטופלת באמצעות טיפול משופר בשיטה Node.normalize. תודה ל-Mark Dowd על הדיווח על הבעיה.

  • WebKit

    ‏CVE-ID: CVE-2010-1761

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7,‏ Windows Vista‏, Windows XP SP2 ואילך

    השפעה: ביקור באתר בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת בעיה של use after free בעיבוד עצי-משנה של מסמך HRML על-ידי WebKit. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. הבעיה מטופלת באמצעות טיפול משופר בעיבוד עצי-משנה של מסמך HTML. תודה ל-James Robinson מ-Google Inc.‎ על הדיווח על הבעיה.

  • WebKit

    CVE-ID: CVE-2010-1762

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    השפעה: ביקור באתר אינטרנט בעל מבנה זדוני עלול להוביל למתקפת סקריפטים בין אתרים

    תיאור: קיימת בעיית עיצוב בטיפול ברכיבי HTML הכלולים ב-textarea. ביקור באתר אינטרנט בעל מבנה זדוני עלול להוביל למתקפת סקריפטים בין אתרים. הבעיה מטופלת באמצעות אימות משופר של רכיבי textarea. תודה ל-Eduardo Vela Nava ‏(sirdarckcat) מ-Google Inc.‎ על הדיווח על הבעיה.

  • WebKit

    CVE-ID: CVE-2010-1764

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    השפעה: ביקור באתר אינטרנט שמפנה הגשות טפסים עלול להוביל לחשיפת מידע

    תיאור: קיימת בעיית עיצוב בטיפול של WebKit בהפניות של HTTP. כאשר הגשת טופס מופנית לאתר אינטרנט שגם הוא מבצע הפניה, המידע הכלול בטופס המוגש עלול להישלח לאתר השלישי. הבעיה מטופלת באמצעות טיפול משופר בהפניות HTTP. תודה ל-Marc Worrell מ-WhatWebWhat על הדיווח על הבעיה.

  • WebKit

    CVE-ID: CVE-2010-1770

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    השפעה: ביקור באתר אינטרנט בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת בעיית בדיקת סוג בטיפול של WebKit בצומתי טקסט. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. בעיה זו מטופלת באמצעות בדיקת סוג משופרת. תודה ל-wushi מ-team509, בעבודה עם Zero Day Initiative של TippingPoint, עבור הדיווח על הבעיה.

  • WebKit

    ‏CVE-ID: CVE-2010-1771

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7,‏ Windows Vista‏, Windows XP SP2 ואילך

    השפעה: ביקור באתר בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת בעיה של use after free בטיפול של WebKit בגופנים. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. הבעיה מטופלת באמצעות טיפול משופר בגופנים. קרדיט: Apple.

  • WebKit

    CVE-ID: CVE-2010-1774

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    השפעה: ביקור באתר אינטרנט בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת בעיית גישה לזיכרון מחוץ לטווח בטיפול של WebKit בטבלאות HTML. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. בעיה זו מטופלת באמצעות בדיקת טווחים משופרת. תודה ל-Wushi מ-team509 על הדיווח על הבעיה.

  • WebKit

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.2 ואילך, Mac OS X Server v10.6.2 ואילך, Windows 7‏, Windows Vista‏, Windows XP SP2 ואילך

    השפעה: אתר אינטרנט בעל מבנה זדוני עלול להצליח לקבוע באיזה אתרים משתמש ביקר

    תיאור: קיימת בעיית עיצוב בטיפול של WebKit בפסאודו-סיווג ‎:visited של CSS. אתר אינטרנט בעל מבנה זדוני עלול להצליח לקבוע באיזה אתרים משתמש ביקר. עדכון זה מגביל את היכולת של דפי אינטרנט לעצב דפים בתלות בביקור בקישורים.

הערה: Safari 5.0 ו-Safari 4.1 מטפלים באותה סדרה של בעיות אבטחה. Safari 5.0 מסופק עבור מערכות Mac OS X v10.5, ‏Mac OS X v10.6 ו-Microsoft Windows. Safari 4.1 מסופק עבור מערכות Mac OS X v10.4.

חשוב: מידע על מוצרים שאינם מיוצרים על ידי Apple ניתן למטרות מידע בלבד ואינו מהווה המלצה או תמיכה של Apple. יש ליצור קשר עם הספק לקבלת מידע נוסף.

Published Date: