Aktualizacja bezpieczeństwa przeglądarki Safari 4 Beta

Koncern Apple wydał aktualizację bezpieczeństwa dla publicznej wersji beta przeglądarki internetowej Safari 4. Eliminuje ona w sumie trzy poważne usterki związane z zabezpieczeniami.

Problemy

W bibliotece libxml służącej do przetwarzania danych XML znaleziono lukę (CVE-2008-3529. pozwalającą na spowodowanie błędu przepełnienia sterty w przypadku odwiedzenia przez użytkownika odpowiednio spreparowanej strony, której kod zawiera zbyt długie nazwy encji. Potencjalny napastnik mógł wykorzystać ten błąd do przemycenia i wykonania dowolnego kodu.

Poza tym załatano znalezioną przez Billy'ego Riosa i Alfredo Melloniego usterkę (CVE-2009-0162. pozwalającą intruzom podsuwać szkodliwe łańcuchy URL rozpoczynające się schematem feed: – ich wprowadzenie do przeglądarki umożliwiało wykonywanie dowolnego kodu języka JavaScript. Przyczyną problemu był błąd w filtrowaniu tego lokalizatorów tego typu.

Ostatnia wyeliminowana luka (CVE-2009-0945. znajdowała się w silniku WebKit i pozwalała na wykonywanie dowolnego kodu. Usterkę znaleźli specjaliści z zespołu ZDI należącego od jakiegoś czasu do firmy TippingPoint. Przyczyną były niedokładne mechanizmy sprawdzania zakresu zmiennych decydujących o zarządzaniu pamięcią dla obiektów SVGList. Do przeprowadzenia ataku użytkownik musiał być zachęcony do wejścia na odpowiednio zmanipulowaną stronę.

Rozwiązanie

Instalacja najnowszej wersji Public Beta (5528.17. eliminuje opisywane problemy. Producent dystrybuuje ją, używając mechanizmu automatycznych aktualizacji. Można również zainstalować najnowsze wydanie samodzielnie, korzystając z odpowiedniej strony pobierania.

Zaktualizowana przeglądarka współpracuje z systemami: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP i Vista.

wydanie internetowe www.heise-online.pl