Πληροφορίες για το περιεχόμενο ασφάλειας του Safari 5.1 και του Safari 5.0.6

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του Safari 5.1 και του Safari 5.0.6. Το Safari 5.1 περιλαμβάνεται με το OS X Lion.

H Apple, για λόγους προστασίας των πελατών της, δεν αποκαλύπτει, δεν συζητά ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.

Για περισσότερες πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο «Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple».

Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE για την αναφορά σε συγκεκριμένες ευπάθειες, με στόχο την περαιτέρω πληροφόρηση.

Για να ενημερωθείτε σχετικά με άλλες Ενημερώσεις ασφάλειας, ανατρέξτε στο άρθρο «Ενημερώσεις ασφάλειας Apple».

Safari 5.1 και Safari 5.0.6

  • CFNetwork

    Διατίθεται για: Windows 7, Vista, XP SP2 ή νεότερες εκδόσεις

    Αποτέλεσμα: Η επίσκεψη σε κακόβουλο ιστότοπο μπορεί να οδηγήσει σε επίθεση μέσω σκριπτ μεταξύ ιστότοπων

    Περιγραφή: Σε ορισμένες περιπτώσεις, το Safari ενδέχεται να χειριστεί ένα αρχείο ως HTML, ακόμα και αν εξυπηρετείται με τον τύπο περιεχομένου 'text/plain'. Αυτό μπορεί να οδηγήσει σε επίθεση μέσω σκριπτ μεταξύ ιστότοπων σε ιστότοπους που επιτρέπουν σε μη αξιόπιστους χρήστες να δημοσιεύουν αρχεία κειμένου. Αυτό το πρόβλημα αντιμετωπίζεται μέσω βελτιωμένου χειρισμού του περιεχομένου 'text/plain'.

    CVE-ID

    CVE-2010-1420 : Hidetake Jo σε συνεργασία με την Microsoft Vulnerability Research (MSVR), Neal Poole της Matasano Security

  • CFNetwork

    Διατίθεται για: Windows 7, Vista, XP SP2 ή νεότερες εκδόσεις

    Αποτέλεσμα: Ο έλεγχος ταυτότητας σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα

    Περιγραφή: Το πρωτόκολλο ελέγχου ταυτότητας NTLM είναι ευάλωτο σε μια επίθεση αναπαραγωγής, η οποία αναφέρεται ως αντανάκλαση διαπιστευτηρίων. Ο έλεγχος ταυτότητας σε έναν κακόβουλο ιστότοπο μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα. Για την εξάλειψη αυτού του προβλήματος, το Safari έχει ενημερωθεί ώστε να χρησιμοποιεί μηχανισμούς προστασίας που έχουν προστεθεί πρόσφατα στα Windows. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα Mac OS X.

    CVE-ID

    CVE-2010-1383 : Takehiro Takahashi της IBM X-Force Research

  • CFNetwork

    Διατίθεται για: Windows 7, Vista, XP SP2 ή νεότερες εκδόσεις

    Αποτέλεσμα: Ένα πιστοποιητικό ρίζας που έχει απενεργοποιηθεί ενδέχεται να εξακολουθεί να είναι αξιόπιστο

    Περιγραφή: Το CFNetwork δεν επικύρωσε σωστά ότι ένα πιστοποιητικό ήταν αξιόπιστο για χρήση από έναν διακομιστή SSL. Ως αποτέλεσμα, εάν ο χρήστης είχε επισημάνει ένα πιστοποιητικό ρίζας συστήματος ως μη αξιόπιστο, το Safari θα εξακολουθούσε να αποδέχεται πιστοποιητικά υπογεγραμμένα από αυτήν τη ρίζα. Αυτό το πρόβλημα αντιμετωπίζεται μέσω βελτιωμένης επικύρωσης πιστοποιητικών. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα Mac OS X.

    CVE-ID

    CVE-2011-0214 : ένας ανώνυμος ερευνητής

  • ColorSync

    Διατίθεται για: Windows 7, Vista, XP, SP2 ή νεότερες εκδόσεις

    Αποτέλεσμα: Η προβολή κακόβουλης εικόνας με ενσωματωμένο προφίλ ColorSync ενδέχεται να οδηγήσει σε μη αναμενόμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπήρχε υπερχείλιση ακέραιου στον χειρισμό εικόνων με ενσωματωμένο προφίλ ColorSync, γεγονός που μπορεί να οδηγήσει σε υπερχείλιση buffer σωρού. Το άνοιγμα κακόβουλης εικόνας με ένα ενσωματωμένο προφίλ ColorSync ενδέχεται να έχει ως αποτέλεσμα τον μη αναμενόμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Για συστήματα Mac OS X v10.5, αυτό το πρόβλημα αντιμετωπίζεται στην Ενημέρωση ασφάλειας 2011-004.

    CVE-ID

    CVE-2011-0200: binaryproof σε συνεργασία με το πρόγραμμα Zero Day Initiative της TippingPoint

  • CoreFoundation

    Διατίθεται για: Windows 7, Vista, XP SP2 ή νεότερες εκδόσεις

    Αποτέλεσμα: Οι εφαρμογές που χρησιμοποιούν το πλαίσιο CoreFoundation ενδέχεται να είναι ευάλωτες σε μη αναμενόμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπήρχε ένα πρόβλημα υπερχείλισης buffer «off-by-one» στον χειρισμό CFStrings. Οι εφαρμογές που χρησιμοποιούν το πλαίσιο CoreFoundation ενδέχεται να είναι ευάλωτες σε μη αναμενόμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα. Για συστήματα Mac OS X v10.6, αυτό το πρόβλημα αντιμετωπίζεται στο Mac OS X v10.6.8.

    CVE-ID

    CVE-2011-0201 : Harry Sintonen

  • CoreGraphics

    Διατίθεται για: Windows 7, Vista, XP SP2 ή νεότερη έκδοση

    Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου PDF ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπήρχε πρόβλημα υπερχείλισης ακεραίων στον χειρισμό γραμματοσειρών Type 1. Η προβολή ή λήψη εγγράφου που περιέχει κακόβουλη ενσωματωμένη γραμματοσειρά μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα. Για συστήματα Mac OS X v10.6, αυτό το πρόβλημα αντιμετωπίζεται στο Mac OS X v10.6.8. Για συστήματα Mac OS X v10.5, αυτό το πρόβλημα αντιμετωπίζεται στην Ενημέρωση ασφάλειας 2011-004.

    CVE-ID

    CVE-2011-0202 : Cristian Draghici της Modulo Consulting, Felix Grobert της Google Security Team

  • International Components for Unicode

    Διατίθεται για: Windows 7, Vista, XP SP2 ή νεότερες εκδόσεις

    Αποτέλεσμα: Οι εφαρμογές που χρησιμοποιούν ICU ενδέχεται να είναι ευάλωτες σε μη αναμενόμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπήρχε ένα πρόβλημα υπερχείλισης buffer στον χειρισμό των συμβολοσειρών κεφαλαίων από το ICU. Οι εφαρμογές που χρησιμοποιούν ICU ενδέχεται να είναι ευάλωτες σε μη αναμενόμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα. Για συστήματα Mac OS X v10.6, αυτό το πρόβλημα αντιμετωπίζεται στο Mac OS X v10.6.8.

    CVE-ID

    CVE-2011-0206 : David Bienvenu της Mozilla

  • ImageIO

    Διατίθεται για: Windows 7, Vista, XP SP2 ή νεότερη έκδοση

    Αποτέλεσμα: Η προβολή κακόβουλης εικόνας TIFF ενδέχεται να οδηγήσει σε μη αναμενόμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπήρχε υπερχείλιση buffer σωρού στον χειρισμό εικόνων TIFF από το ImageIO. Η προβολή κακόβουλης εικόνας TIFF ενδέχεται να έχει ως αποτέλεσμα τον μη αναμενόμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Για συστήματα Mac OS X v10.6, αυτό το πρόβλημα αντιμετωπίζεται στο Mac OS X v10.6.8. Για συστήματα Mac OS X v10.5, αυτό το πρόβλημα αντιμετωπίζεται στην Ενημέρωση ασφάλειας 2011-004.

    CVE-ID

    CVE-2011-0204 : Dominic Chell της NGS Secure

  • ImageIO

    Διατίθεται για: Windows 7, Vista, XP SP2 ή νεότερη έκδοση

    Αποτέλεσμα: Η προβολή κακόβουλης εικόνας TIFF ενδέχεται να οδηγήσει σε μη αναμενόμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπήρχε υπερχείλιση buffer σωρού στον χειρισμό εικόνων TIFF με κωδικοποίηση CCITT Group 4 από το ImageIO. Η προβολή κακόβουλης εικόνας TIFF ενδέχεται να έχει ως αποτέλεσμα τον μη αναμενόμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα.

    CVE-ID

    CVE-2011-0241 : Cyril CATTIAUX της Tessi Technologies

  • ImageIO

    Διατίθεται για: Windows 7, Vista, XP SP2 ή νεότερη έκδοση

    Αποτέλεσμα: Η προβολή κακόβουλης εικόνας TIFF ενδέχεται να οδηγήσει σε μη αναμενόμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπήρχε πρόβλημα επανεισόδου στον χειρισμό εικόνων TIFF από το ImageIO. Η προβολή κακόβουλης εικόνας TIFF ενδέχεται να έχει ως αποτέλεσμα τον μη αναμενόμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα Mac OS X.

    CVE-ID

    CVE-2011-0215 : Juan Pablo Lopez Yacubian σε συνεργασία με την iDefense VCP

  • ImageIO

    Διατίθεται για: Windows 7, Vista, XP SP2 ή νεότερη έκδοση

    Αποτέλεσμα: Η προβολή κακόβουλης εικόνας TIFF ενδέχεται να οδηγήσει σε μη αναμενόμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπήρχε υπερχείλιση buffer σωρού στον χειρισμό εικόνων TIFF από το ImageIO. Η προβολή κακόβουλης εικόνας TIFF ενδέχεται να έχει ως αποτέλεσμα τον μη αναμενόμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Για συστήματα Mac OS X v10.6, αυτό το πρόβλημα αντιμετωπίζεται στο Mac OS X v10.6.8. Για συστήματα Mac OS X v10.5, αυτό το πρόβλημα αντιμετωπίζεται στην Ενημέρωση ασφάλειας 2011-004.

    CVE-ID

    CVE-2011-0204 : Dominic Chell της NGS Secure

  • libxslt

    Διατίθεται για: Windows 7, Vista, XP SP2 ή νεότερες εκδόσεις

    Αποτέλεσμα: Η επίσκεψη σε κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε αποκάλυψη διευθύνσεων στον σωρό

    Περιγραφή: Η υλοποίηση από το libxslt της συνάρτησης generate-id() XPath αποκάλυψε τη διεύθυνση ενός buffer σωρού. Η επίσκεψη σε κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε αποκάλυψη διευθύνσεων στον σωρό. Αυτό το πρόβλημα αντιμετωπίζεται με τη δημιουργία ενός ID που βασίζεται στη διαφορά ανάμεσα στις διευθύνσεις των δύο buffer σωρού. Για συστήματα Mac OS X v10.6, αυτό το πρόβλημα αντιμετωπίζεται στο Mac OS X v10.6.8. Για συστήματα Mac OS X v10.5, αυτό το πρόβλημα αντιμετωπίζεται στην Ενημέρωση ασφάλειας 2011-004.

    CVE-ID

    CVE-2011-0195 : Chris Evans της Google Chrome Security Team

  • libxml

    Διατίθεται για: Windows 7, Vista, XP SP2 ή νεότερη έκδοση

    Αποτέλεσμα: Η επίσκεψη σε κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε μη αναμενόμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπήρχε υπερχείλιση buffer σωρού «one-byte» στον χειρισμό δεδομένων XML από το libxml. Η μετάβαση σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα.

    CVE-ID

    CVE-2011-0216 : Billy Rios της ομάδας Google Security Team

  • Safari

    Διατίθεται για: Mac OS X v10.6.8 ή νεότερες εκδόσεις, Mac OS X Server v10.6.8 ή νεότερες εκδόσεις, Windows 7, Vista, XP SP2 ή νεότερες εκδόσεις

    Αποτέλεσμα: Εάν η λειτουργία «Αυτόματη συμπλήρωση φορμών Ιστού» είναι ενεργοποιημένη, η επίσκεψη σε κακόβουλο ιστότοπο και η πληκτρολόγηση ενδέχεται να οδηγήσει σε αποκάλυψη πληροφοριών από το Βιβλίο διευθύνσεων του χρήστη

    Περιγραφή: Η λειτουργία «Αυτόματη συμπλήρωση φορμών Ιστού» του Safari συμπλήρωσε μη ορατά πεδία φόρμας και οι πληροφορίες ήταν προσπελάσιμες από σκριπτ στον ιστότοπο πριν ο χρήστης να υποβάλει τη φόρμα. Αυτό το πρόβλημα αντιμετωπίζεται με την εμφάνιση όλων των πεδίων που θα συμπληρωθούν και την απαίτηση της συναίνεσης του χρήστη πριν να γίνουν διαθέσιμες οι πληροφορίες της Αυτόματης συμπλήρωσης στη φόρμα.

    CVE-ID

    CVE-2011-0217 : Florian Rienhardt της BSI, Alex Lambert, Jeremiah Grossman

  • Safari

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.8 ή νεότερες εκδόσεις, Mac OS X Server v10.6.8 ή νεότερες εκδόσεις, Windows 7, Vista, XP SP2 ή νεότερες εκδόσεις

    Αποτέλεσμα: Με μια συγκεκριμένη διαμόρφωση Java, η επίσκεψη σε κακόβουλο ιστότοπο ενδέχεται να οδηγήσει στην εμφάνιση μη αναμενόμενου κειμένου σε άλλους ιστότοπους

    Περιγραφή: Υπήρχε ένα πρόβλημα μεταξύ προελεύσεων στον χειρισμό των Java Applet. Αυτό ισχύει όταν είναι ενεργοποιημένη η Java στο Safari και η Java έχει διαμορφωθεί ώστε να εκτελείται εντός της διαδικασίας του προγράμματος περιήγησης. Οι γραμματοσειρές που φορτώνονται από ένα Java applet ενδέχεται να επηρεάσουν την εμφάνιση περιεχομένου κειμένου από άλλους ιστότοπους. Αυτό το πρόβλημα αντιμετωπίζεται μέσω της εκτέλεσης Java applet σε μια ξεχωριστή διαδικασία.

    CVE-ID

    CVE-2011-0219 : Joshua Smith της Kaon Interactive

  • WebKit

    Διατίθεται για: , Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.8 ή νεότερη έκδοση, Mac OS X Server v10.6.8 ή νεότερη έκδοση, Windows 7, Vista, XP SP2 ή νεότερη έκδοση

    Αποτέλεσμα: Η επίσκεψη σε κακόβουλο ιστότοπο ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπήρχαν πολλά προβλήματα αλλοίωσης της μνήμης στο WebKit. Η μετάβαση σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα.

    CVE-ID

    CVE-2010-1823 : David Weston της Microsoft και της Microsoft Vulnerability Research (MSVR), wushi της team509 και Yong Li της Research In Motion Ltd

    CVE-2011-0164 : Apple

    CVE-2011-0218 : SkyLined της Google Chrome Security Team

    CVE-2011-0221 : Abhishek Arya (Inferno) της Google Chrome Security Team

    CVE-2011-0222 : Nikita Tarakanov και Alex Bazhanyuk της CISS Research Team και Abhishek Arya (Inferno) της Google Chrome Security Team

    CVE-2011-0223 : Jose A. Vazquez της spa-s3c.blogspot.com σε συνεργασία με την iDefense VCP

    CVE-2011-0225 : Abhishek Arya (Inferno) της Google Chrome Security Team

    CVE-2011-0232 : J23 σε συνεργασία με το πρόγραμμα Zero Day Initiative της TippingPoint

    CVE-2011-0233 : wushi της team509 σε συνεργασία με το πρόγραμμα Zero Day Initiative της TippingPoint

    CVE-2011-0234 : Rob King σε συνεργασία με το πρόγραμμα Zero Day Initiative της TippingPoint, wushi της team509 σε συνεργασία με το πρόγραμμα Zero Day Initiative της TippingPoint, wushi της team509 σε συνεργασία με την iDefense VCP

    CVE-2011-0235 : Abhishek Arya (Inferno) της Google Chrome Security Team

    CVE-2011-0237 : wushi της team509 σε συνεργασία με την iDefense VCP

    CVE-2011-0238 : Adam Barth της Google Chrome Security Team

    CVE-2011-0240 : wushi της team509 σε συνεργασία με την iDefense VCP

    CVE-2011-0253 : Richard Keen

    CVE-2011-0254 : Ένας ανώνυμος ερευνητής σε συνεργασία με το πρόγραμμα Zero Day Initiative της TippingPoint

    CVE-2011-0255 : Ένας ανώνυμος ερευνητής σε συνεργασία με το πρόγραμμα Zero Day Initiative της TippingPoint

    CVE-2011-0981 : Rik Cabanier της Adobe Systems, Inc

    CVE-2011-0983 : Martin Barbella

    CVE-2011-1109 : Sergey Glazunov

    CVE-2011-1114 : Martin Barbella

    CVE-2011-1115 : Martin Barbella

    CVE-2011-1117 : wushi της team509

    CVE-2011-1121 : miaubiz

    CVE-2011-1188 : Martin Barbella

    CVE-2011-1203 : Sergey Glazunov

    CVE-2011-1204 : Sergey Glazunov

    CVE-2011-1288 : Andreas Kling της Nokia

    CVE-2011-1293 : Sergey Glazunov

    CVE-2011-1296 : Sergey Glazunov

    CVE-2011-1449 : Marek Majkowski, wushi της team 509 σε συνεργασία με την iDefense VCP

    CVE-2011-1451 : Sergey Glazunov

    CVE-2011-1453 : wushi της team509 σε συνεργασία με το πρόγραμμα Zero Day Initiative της TippingPoint

    CVE-2011-1457 : John Knottenbelt της Google

    CVE-2011-1462 : wushi της team509

    CVE-2011-1797 : wushi της team509

    CVE-2011-3438 : wushi της team509 σε συνεργασία με την iDefense VCP

    CVE-2011-3443 : Ένας ανώνυμος ερευνητής σε συνεργασία με την iDefense VCP

  • WebKit

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.8 ή νεότερες εκδόσεις, Mac OS X Server v10.6.8 ή νεότερες εκδόσεις, Windows 7, Vista, XP SP2 ή νεότερες εκδόσεις

    Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπήρχε ένα πρόβλημα διαμόρφωσης στη χρήση από το WebKit του libxslt. Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει στη δημιουργία αυθαίρετων αρχείων με δικαιώματα χρήστη, κάτι το οποίο μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα. Αυτό το θέμα αντιμετωπίζεται με βελτιωμένες ρυθμίσεις ασφάλειας του libxslt.

    CVE-ID

    CVE-2011-1774 : Nicolas Gregoire της Agarri

  • WebKit

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.8 ή νεότερες εκδόσεις, Mac OS X Server v10.6.8 ή νεότερες εκδόσεις, Windows 7, Vista, XP SP2 ή νεότερες εκδόσεις

    Αποτέλεσμα: Η επίσκεψη σε κακόβουλο ιστότοπο μπορεί να οδηγήσει σε αποκάλυψη πληροφοριών

    Περιγραφή: Υπήρχε πρόβλημα μεταξύ προελεύσεων στον χειρισμό Web Workers. Η επίσκεψη σε κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε αποκάλυψη πληροφοριών.

    CVE-ID

    CVE-2011-1190 : Daniel Divricean της divricean.ro

  • WebKit

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.8 ή νεότερες εκδόσεις, Mac OS X Server v10.6.8 ή νεότερες εκδόσεις, Windows 7, Vista, XP SP2 ή νεότερες εκδόσεις

    Αποτέλεσμα: Η επίσκεψη σε κακόβουλο ιστότοπο μπορεί να οδηγήσει σε επίθεση μέσω σκριπτ μεταξύ ιστότοπων

    Περιγραφή: Υπήρχε πρόβλημα μεταξύ προελεύσεων στον χειρισμό διευθύνσεων URL με ενσωματωμένο όνομα χρήστη. Η επίσκεψη σε κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε επίθεση μέσω σκριπτ μεταξύ ιστότοπων. Αυτό το ζήτημα αντιμετωπίζεται μέσω του βελτιωμένου χειρισμού των διευθύνσεων URL που διαθέτουν ενσωματωμένο όνομα χρήστη.

    CVE-ID

    CVE-2011-0242 : Jobert Abma της Online24

  • WebKit

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.8 ή νεότερες εκδόσεις, Mac OS X Server v10.6.8 ή νεότερες εκδόσεις, Windows 7, Vista, XP SP2 ή νεότερες εκδόσεις

    Αποτέλεσμα: Η επίσκεψη σε κακόβουλο ιστότοπο μπορεί να οδηγήσει σε επίθεση μέσω σκριπτ μεταξύ ιστότοπων

    Περιγραφή: Υπήρχε πρόβλημα μεταξύ προελεύσεων στον χειρισμό κόμβων DOM. Η επίσκεψη σε κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε επίθεση μέσω σκριπτ μεταξύ ιστότοπων.

    CVE-ID

    CVE-2011-1295 : Sergey Glazunov

  • WebKit

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.8 ή νεότερες εκδόσεις, Mac OS X Server v10.6.8 ή νεότερες εκδόσεις, Windows 7, Vista, XP SP2 ή νεότερες εκδόσεις

    Αποτέλεσμα: Ένας κακόβουλος ιστότοπος ενδέχεται να μπορεί να προκαλέσει την εμφάνιση μιας διαφορετικής διεύθυνσης URL στη γραμμή διευθύνσεων

    Περιγραφή: Υπήρχε ένα πρόβλημα πλαστογράφησης διευθύνσεων URL στον χειρισμό του αντικειμένου ιστορικού DOM. Ένας κακόβουλος ιστότοπος ενδέχεται να μπορεί να προκαλέσει την εμφάνιση μιας διαφορετικής διεύθυνσης URL στη γραμμή διευθύνσεων.

    CVE-ID

    CVE-2011-1107 : Jordi Chancel

  • WebKit

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.8 ή νεότερες εκδόσεις, Mac OS X Server v10.6.8 ή νεότερες εκδόσεις, Windows 7, Vista, XP SP2 ή νεότερες εκδόσεις

    Αποτέλεσμα: Η συνδρομή σε μια κακόβουλη τροφοδοσία RSS και η επιλογή ενός συνδέσμου μέσα σε αυτή, ενδέχεται να οδηγήσει σε αποκάλυψη πληροφοριών

    Περιγραφή: Υπήρχε ένα πρόβλημα κανονικοποίησης στον χειρισμό των διευθύνσεων URL. Η συνδρομή σε μια κακόβουλη τροφοδοσία RSS και η επιλογή ενός συνδέσμου μέσα σε αυτή, ενδέχεται να οδηγήσει στην αποστολή αυθαίρετων αρχείων από το σύστημα του χρήστη σε έναν απομακρυσμένο διακομιστή. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένου χειρισμού των διευθύνσεων URL.

    CVE-ID

    CVE-2011-0244 : Jason Hullinger

  • WebKit

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.8 ή νεότερες εκδόσεις, Mac OS X Server v10.6.8 ή νεότερες εκδόσεις, Windows 7, Vista, XP SP2 ή νεότερες εκδόσεις

    Αποτέλεσμα: Οι εφαρμογές που χρησιμοποιούν το WebKit, όπως οι εφαρμογές πελάτες ταχυδρομείου, ενδέχεται να συνδεθούν σε έναν αυθαίρετο διακομιστή DNS κατά την επεξεργασία περιεχομένου HTML

    Περιγραφή: Η προανάκτηση DNS ενεργοποιήθηκε ως προεπιλογή στο WebKit. Οι εφαρμογές που χρησιμοποιούν το WebKit, όπως οι εφαρμογές πελάτες ταχυδρομείου, ενδέχεται να συνδεθούν σε έναν αυθαίρετο διακομιστή DNS κατά την επεξεργασία περιεχομένου HTML. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα απαιτώντας οι εφαρμογές να συναινούν στην προανάκτηση DNS.

    CVE-ID

    CVE-2010-3829 : Mike Cardwell της Cardwell IT Ltd.

Σημαντικό: Η αναφορά ιστότοπων και προϊόντων τρίτων προορίζεται μόνο για ενημερωτικούς σκοπούς και δεν συνιστά ούτε έγκριση ούτε σύσταση. Η Apple δεν φέρει καμία ευθύνη όσον αφορά την επιλογή, την απόδοση ή τη χρήση πληροφοριών ή προϊόντων που βρίσκονται σε ιστότοπους τρίτων. Η Apple το παρέχει μόνο για διευκόλυνση των χρηστών μας. Η Apple δεν έχει ελέγξει τις πληροφορίες που βρίσκονται σε αυτούς τους ιστότοπους και δεν προβαίνει σε καμία δήλωση σχετικά με την ακρίβεια ή την αξιοπιστία τους. Υπάρχουν κίνδυνοι που συνδέονται με τη χρήση οποιωνδήποτε πληροφοριών ή προϊόντων που βρίσκονται στο διαδίκτυο και η Apple δεν αναλαμβάνει καμία ευθύνη ως προς αυτό. Πρέπει να κατανοήσετε ότι ένας ιστότοπος τρίτου μέρους είναι ανεξάρτητος από την Apple και ότι η Apple δεν έχει κανέναν έλεγχο επί του περιεχομένου σε αυτόν τον ιστότοπο. Επικοινωνήστε με τον προμηθευτή για πρόσθετες πληροφορίες.

Ημερομηνία δημοσίευσης: