Apple vypouští Safari 5.0.3

Apple vypouští Safari 5.0.3

Apple opět vypouští aktualizaci svého webového prohlížeče Safari, které nese označení Safari 5.0.3. Jako obvykle řeší problémy s kompatibilitou, stabilitou bezpečností atd. Apple k tomuto vydání píše:

  • Přesnější výsledky Top Hit v adresním řádku
  • Přesnější výsledky v Top Sites
  • Opravuje problém, který může způsobit, že filtrovaný obsah s Flashem 10.1 modulem bude překrývat obsah stránky
  • Spolehlivější blokování pop-up stránek
  • Vylepšená stabilita při hledání ve vyhledávacích a vstupních polí na stránkách www.netflix.com a www.facebook.com
  • Lepší stabilita při použití doplňků náročných na JavaScript
  • Lepší stabilita při použití VoiceOver v Safari

Ve Windows verzi update řeší také:

  • Problémy při přehrávání některých videí, které byly upraveny, aby zahrnovaly otáčení a převrácení
  • Vylepšuje se se stabilita při použití funkce screen reader.

Z bezpečnostního hlediska aktualizace řeší řadu problémů ve Webkitu a to jak pro Safari 5.0.3, tak pro Safari 4.1.3

  • CVE-ID: CVE-2010-3803
  • Pro: Mac OS X 10.4.11,10.5.8,10.6.4 nebo pozdější v klientské i serverové verzi, Windows 7, Vista, XP SP2 nebo pozdější
  • Dopad: Upravená stránka může vést k pádu aplikace nebo spuštění nežádoucího kódu
  • Popis: Při práci s textovými řetězci ve Webkitu může dojít k přetečení integeru. Navštívení upravené www stránky může vést k pádu aplikace nebo spuštění nežádoucího kódu. Problém je vyřešen lepší kontrolou. Kredit: J23
  • CVE-ID: CVE-2010-3804
  • Pro: Mac OS X 10.4.11,10.5.8,10.6.4 nebo pozdější v klientské i serverové verzi, Windows 7, Vista, XP SP2 nebo pozdější
  • Dopad: WWW stránky mohou tajně sledovat uživatele
  • Popis: Safari generuje náhodná čísla pro JavaScript aplikace pomocí predikovatelného algoritmu. To může dovolit www stránce sledovat určitou relaci Safari bez nutnosti používat cookies, skrytých prvků formuláře, IP adres nebo dalších technik. Aktualizace řeší problém silnějším generátorem náhodných čísel. Kredit: Amit Kelin z Trustter
  • CVE-ID: CVE-2010-1815
  • Pro: Mac OS X 10.4.11,10.5.8,10.6.4 nebo pozdější v klientské i serverové verzi, Windows 7, Vista, XP SP2 nebo pozdější
  • Dopad: Upravená stránka může vést k pádu aplikace nebo spuštění nežádoucího kódu
  • Popis: Chyba při práci s posuvníky umožňuje, že navštívením upravené www stránky shodíte prohlížeč nebo spustíte nežádoucí kód. Problém je vyřešen lepší kontrolou správy paměti. Kredit: thabermann
  • CVE-ID: CVE-2010-3259
  • Pro: Mac OS X 10.4.11,10.5.8,10.6.4 nebo pozdější v klientské i serverové verzi, Windows 7, Vista, XP SP2 nebo pozdější
  • Dopad: Navštívením upravené www stránky může prozradit obrazová data z jiné stránky
  • Popis: Problém cross-origin při práci s obrázky ve WebKitu může způsobit, že navštívením upravené www stránky můe vést k prozrazení obrazových dat jiné www stránky. Problém je vyřešen lepším sledování původu dat. Kredit: Isaac Dawson a James QUiu z Microsoftu a Microsoéft Vulnerability Research (MSVR)
  • CVE-ID: CVE-2010-3808
  • Pro: Mac OS X 10.4.11,10.5.8,10.6.4 nebo pozdější v klientské i serverové verzi, Windows 7, Vista, XP SP2 nebo pozdější
  • Dopad: Upravená stránka může vést k pádu aplikace nebo spuštění nežádoucího kódu
  • Popis: Při práci s editačními příkazy dochází ke špatnému přetypování. Navštívení upravené www stránky tak může vést k pádu aplikace nebo spuštění kódu. Problém je vyřešen lepší kontrolou editačních příkazů. Kredit: wushi z team509.
  • CVE-ID: CVE-2010-1812
  • Pro: Mac OS X 10.4.11,10.5.8,10.6.4 nebo pozdější v klientské i serverové verzi, Windows 7, Vista, XP SP2 nebo pozdější
  • Dopad: Upravená stránka může vést k pádu aplikace nebo spuštění nežádoucího kódu
  • Popis: Při práci s výběry může dojít k problému využití již uvolněného objektu. Navštívení upravené www stránky tak může vést k pádu aplikace nebo spuštění kódu. Problém je vyřešen lepší správou paměti. Kredit: chipplyman
  • CVE-ID: CVE-2010-3809
  • Pro: Mac OS X 10.4.11,10.5.8,10.6.4 nebo pozdější v klientské i serverové verzi, Windows 7, Vista, XP SP2 nebo pozdější
  • Dopad: Upravená stránka může vést k pádu aplikace nebo spuštění nežádoucího kódu
  • Popis: Při práci s inline styly dochází ke špatnému přetypování. Navštívení upravené www stránky tak může vést k pádu aplikace nebo spuštění kódu. Problém je vyřešen lepší prací s inline styly. Kredit: Abhishek Arya (Inferno) z Google Chrome Security Team
  • CVE-ID: CVE-2010-3814
  • Pro: Mac OS X 10.4.11,10.5.8,10.6.4 nebo pozdější v klientské i serverové verzi, Windows 7, Vista, XP SP2 nebo pozdější
  • Dopad: Upravená stránka může vést k pádu aplikace nebo spuštění nežádoucího kódu
  • Popis: Při práci s nabídkami formulářů dochází k poškození paměti. Navštívením upravené www stránky tak může vést k pádu Safari nebo spuštění nežádoucího kódu. Problém je řešen lepší prací s nabídkami formulářů: Kredit: Csaba Osztrogonac z University ze Szegedu.
  • CVE-ID: CVE-2010-3810
  • Pro: Mac OS X 10.4.11,10.5.8,10.6.4 nebo pozdější v klientské i serverové verzi, Windows 7, Vista, XP SP2 nebo pozdější
  • Dopad: Upravená stránka může podvrhnout adresu v adresním řádku nebo přidat lokaci do historie
  • Popis: Při práci s objektem Historie může dojít k chybě cross-origin. Upravená stránk pak může podvrhnout adresu nebo přidat adresu to historie. Řešením je lepší kontrola původu. Kredit: Mike Taylor z Opera Software
  • CVE-ID: CVE-2010-3811
  • Pro: Mac OS X 10.4.11,10.5.8,10.6.4 nebo pozdější v klientské i serverové verzi, Windows 7, Vista, XP SP2 nebo pozdější
  • Dopad: Upravená stránka může vést k pádu aplikace nebo spuštění nežádoucího kódu
  • Popis: Při práci s prvky dochází k použití prvků po jejich uvolnění z paměti. Navštívením upravené www stránky tak může vést k pádu aplikace nebo spuštění nežádoucího kódu. Problém je řešen lepší kontrolou paměti. Kredit: Michal Zalewski
  • CVE-ID: CVE-2010-3812
  • Pro: Mac OS X 10.4.11,10.5.8,10.6.4 nebo pozdější v klientské i serverové verzi, Windows 7, Vista, XP SP2 nebo pozdější
  • Dopad: Upravená stránka může vést k pádu aplikace nebo spuštění nežádoucího kódu
  • Popis: Chyba přetečení integeru při práci s textovými objekty může způsobit pád Safari nebo spuštění nežádoucího kódu. Problém je řešen lepší kontrolou hranic: Kreidt: J23 pracující pro TippingPoint Zero Day Initiative
  • CVE-ID: CVE-2010-3813
  • Pro: Mac OS X 10.4.11,10.5.8,10.6.4 nebo pozdější v klientské i serverové verzi, Windows 7, Vista, XP SP2 nebo pozdější
  • Dopad: WebKit může provádět DNS prefetching i když není dovoleno
  • Popis: Pokud WebKit narazí na HTML Link, který vyžaduje DNS prefetching, provede tuto operaci, i když je zakázána. To může vést v nežádoucímu kontaktování cizího serveru. Příkladem může být html formátovaná emailová zpráva, pomocí které lze jistit, že dopis byl přečten. PRoblém je vyřešen lepší kontrolou DNS prefetching požadavků. Kredit: Jeff Johnson z Rogue Amoeba Software
  • CVE-ID: CVE-2010-3116
  • Pro: Mac OS X 10.4.11,10.5.8,10.6.4 nebo pozdější v klientské i serverové verzi, Windows 7, Vista, XP SP2 nebo pozdější
  • Dopad: Upravená stránka může vést k pádu aplikace nebo spuštění nežádoucího kódu
  • Popis: Při práci s pluginy, Webkit v několika případech může přistupovat k pluginům, které již byly uvolněny z paměti. Navštívením upravené www stránky pak může vést k pádu aplikace nebo spuštění nežádoucího kódu. Problémy byly vyřešeny lepší kontrolou paměti.
  • CVE-ID: CVE-2010-3257
  • Pro: Mac OS X 10.4.11,10.5.8,10.6.4 nebo pozdější v klientské i serverové verzi, Windows 7, Vista, XP SP2 nebo pozdější
  • Dopad: Upravená stránka může vést k pádu aplikace nebo spuštění nežádoucího kódu
  • Popis: Při práci s prvky ve focusu dochází k přistupování k již uvolněným objektům. Navštívení upravené www stránky pak může évst k pádu aplikace nebo spuštění nežádoucího kódu. Problém je vyřešen lepší správou paměti. Kredit: Vupen Vulnerability Research Team
  • CVE-ID: CVE-2010-3816
  • Pro: Mac OS X 10.4.11,10.5.8,10.6.4 nebo pozdější v klientské i serverové verzi, Windows 7, Vista, XP SP2 nebo pozdější
  • Dopad: Upravená stránka může vést k pádu aplikace nebo spuštění nežádoucího kódu
  • Popis: Při práci s prvky s posuvníky dochází k přistupování k již uvolněným objektům. Navštívení upravené www stránky pak může évst k pádu aplikace nebo spuštění nežádoucího kódu. Problém je vyřešen lepší správou paměti. Kredit: Rohit Makasan z Google Inc.
  • CVE-ID: CVE-2010-3817
  • Pro: Mac OS X 10.4.11,10.5.8,10.6.4 nebo pozdější v klientské i serverové verzi, Windows 7, Vista, XP SP2 nebo pozdější
  • Dopad: Upravená stránka může vést k pádu aplikace nebo spuštění nežádoucího kódu
  • Popis: Při práci s  CSS 3D transofrmacemi dochází ke špatnému přetypování . Navštívení upravené www stránky pak může évst k pádu aplikace nebo spuštění nežádoucího kódu. Problém je vyřešen lepší prací s CSS 3D tranformacemi. Kredit: Abhishek Arya (Inferno) z Google Chrome Security Team
  • CVE-ID: CVE-2010-3818
  • Pro: Mac OS X 10.4.11,10.5.8,10.6.4 nebo pozdější v klientské i serverové verzi, Windows 7, Vista, XP SP2 nebo pozdější
  • Dopad: Upravená stránka může vést k pádu aplikace nebo spuštění nežádoucího kódu
  • Popis: Při práci s inline textovými boxy dochází k přistupování k již uvolněným objektům. Navštívení upravené www stránky pak může évst k pádu aplikace nebo spuštění nežádoucího kódu. Problém je vyřešen lepší správou paměti. Kredit: Rohit Makasan z Google Inc.
  • CVE-ID: CVE-2010-3819
  • Pro: Mac OS X 10.4.11,10.5.8,10.6.4 nebo pozdější v klientské i serverové verzi, Windows 7, Vista, XP SP2 nebo pozdější
  • Dopad: Upravená stránka může vést k pádu aplikace nebo spuštění nežádoucího kódu
  • Popis: Při práci CSS boxy dochází ke špatnému přetypování. Navštívení upravené www stránky pak může évst k pádu aplikace nebo spuštění nežádoucího kódu. Problém je vyřešen lepší prací s CSS boxy. Kredit: Rohit Makasan z Google Inc.
  • CVE-ID: CVE-2010-3820
  • Pro: Mac OS X 10.4.11,10.5.8,10.6.4 nebo pozdější v klientské i serverové verzi, Windows 7, Vista, XP SP2 nebo pozdější
  • Dopad: Upravená stránka může vést k pádu aplikace nebo spuštění nežádoucího kódu
  • Popis: Při práci s upravovatelnými prvky se může přistoupit k neinicializované paměti. Navštívení upravené www stránky může vést k pádu Safari nebo spuštění kódu. Problém je řešen lepší kontrolou upravovatelných prvků. Kredit: Apple
  • CVE-ID: CVE-2010-1813
  • Pro: Mac OS X 10.4.11,10.5.8,10.6.4 nebo pozdější v klientské i serverové verzi, Windows 7, Vista, XP SP2 nebo pozdější
  • Dopad: Upravená stránka může vést k pádu aplikace nebo spuštění nežádoucího kódu
  • Popis: Při zpracování vnějších tvarů HTML objektů může dojít k poškození paměti. Navštívením upravené www stránky pak může vést k pádu aplikace nebo spuštění nežádoucího kódu. Problém je vyřešen lepší kontrolou paměti Kredit: Jose A. Vazquez z spa-s3c.blogspot.com
  • CVE-ID: CVE-2010-3821
  • Pro: Mac OS X 10.4.11,10.5.8,10.6.4 nebo pozdější v klientské i serverové verzi, Windows 7, Vista, XP SP2 nebo pozdější
  • Dopad: Upravená stránka může vést k pádu aplikace nebo spuštění nežádoucího kódu
  • Popis: Při práci se pseudo-elementem ':first-letter' dochází k poškození paměti. Navštívením upravené www stránky pak může vést k pádu aplikace nebo spuštění nežádoucího kódu. Problém je vyřešen lepší prací se pseudo-elementem ':first-letter'. Kredit: Cris Neckar aAbhishek Arya (Inferno) z Google Chrome Security Team
  • CVE-ID: CVE-2010-3822
  • Pro: Mac OS X 10.4.11,10.5.8,10.6.4 nebo pozdější v klientské i serverové verzi, Windows 7, Vista, XP SP2 nebo pozdější
  • Dopad: Upravená stránka může vést k pádu aplikace nebo spuštění nežádoucího kódu
  • Popis: Při práci s počítanými styly v CSS se může přistoupit k neinicializovanému ukazateli. Navštívením upravené www stránky pak může vést k pádu aplikace nebo spuštění nežádoucího kódu. Problém je vyřešen lepší prací s CSS styly. Kredit: kuzzcc
  • CVE-ID: CVE-2010-3823
  • Pro: Mac OS X 10.4.11,10.5.8,10.6.4 nebo pozdější v klientské i serverové verzi, Windows 7, Vista, XP SP2 nebo pozdější
  • Dopad: Upravená stránka může vést k pádu aplikace nebo spuštění nežádoucího kódu
  • Popis: Při práci s geolocation objekty dochází k použití objektu i po jeho uvolnění z paměti. Navštívením upravené www stránky pak může vést k pádu aplikace nebo spuštění nežádoucího kódu. Problém je vyřešen lepší správou paměti. Kredit: kuzzcc
  • CVE-ID: CVE-2010-3824
  • Pro: Mac OS X 10.4.11,10.5.8,10.6.4 nebo pozdější v klientské i serverové verzi, Windows 7, Vista, XP SP2 nebo pozdější
  • Dopad: Upravená stránka může vést k pádu aplikace nebo spuštění nežádoucího kódu
  • Popis: Při práci s SVG dokumenty dochází k použití objektu i po jeho uvolnění z paměti. Navštívením upravené www stránky pak může vést k pádu aplikace nebo spuštění nežádoucího kódu. Problém je vyřešen lepší správou paměti. Kredit: wushi z team509
  • CVE-ID: CVE-2010-1822
  • Pro: Mac OS X 10.4.11,10.5.8,10.6.4 nebo pozdější v klientské i serverové verzi, Windows 7, Vista, XP SP2 nebo pozdější
  • Dopad: Upravená stránka může vést k pádu aplikace nebo spuštění nežádoucího kódu
  • Popis: Při práci s SVG dokumenty dochází ke špatnému přetypování. Navštívením upravené www stránky pak může vést k pádu aplikace nebo spuštění nežádoucího kódu. Problém je vyřešen lepší prací s SVG prvky. Kredit: wushi z team509
  • CVE-ID: CVE-2010-3826
  • Pro: Mac OS X 10.4.11,10.5.8,10.6.4 nebo pozdější v klientské i serverové verzi, Windows 7, Vista, XP SP2 nebo pozdější
  • Dopad: Upravená stránka může vést k pádu aplikace nebo spuštění nežádoucího kódu
  • Popis: Při práci s SVG dokumenty dochází ke špatnému přetypování. Navštívením upravené www stránky pak může vést k pádu aplikace nebo spuštění nežádoucího kódu. Problém je vyřešen lepší prací s barvami v SVG dokumentu. Kredit: Abhishek Arya (Inferno) z Google Chrome Security Team
Poslat Apple vypouští Safari 5.0.3 na facebook
Publikováno 30.11.2009
 

Změna barev | Autorská práva | Kontakt | Podpora | RSS kanály
© 2006 Gandalf, Design by Mirek
Creative Commons License