Informationen über den Sicherheitsinhalt von Safari 3.1

In diesem Dokument wird der Sicherheitsinhalt von Safari 3.1 beschrieben. Dieses Programm kann unter Software aktualisieren oder unter Apple Downloads geladen und installiert werden.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Programmkorrekturen oder Versionen verfügbar sind. Nähere Informationen zur Apple Produktsicherheit finden Sie auf der Website Produktsicherheit von Apple.

Informationen zum Apple Produktsicherheits-PGP-Schlüssel finden Sie hier: "So verwenden Sie den Apple Produktsicherheits-PGP-Schlüssel".

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE IDs verwendet.

Informationen zu weiteren Security Updates finden Sie unter "Apple Security Updates".

Dieser Artikel wurde archiviert und wird von Apple nicht mehr aktualisiert.

Safari 3.1

  • Safari

    CVE-ID: CVE-2007-4680

    Verfügbar für: Windows XP oder Vista

    Symptom: Ein entfernter Angreifer kann ein nicht vertrauenswürdiges Zertifikat als vertrauenswürdig erscheinen lassen.

    Beschreibung: Es liegt ein Problem mit der Überprüfung von Zertifikaten vor. Ein Man-in-the-Middle-Angreifer kann den Benutzer auf eine legitime Website mit einem gültigen SSL-Zertifikat leiten und den Benutzer anschließend zu einer gefälschten Website führen, die fälschlicherweise als vertrauenswürdig erscheint. Dies könnte zum Abgreifen von Benutzerberechtigungsnachweisen oder anderen Informationen führen. Mit dieser Aktualisierung wird das Problem durch eine verbesserte Zertifikatsprüfung behoben. Dieses Problem wird mit dem Mac OS X Security Update 2007-008 behoben und in Mac OS X 10.4.11 und Mac OS X 10.5 oder neuer implementiert. Wir danken Marko Karppinen, Petteri Kamppuri und Nikita Zhuk bei MK&C, die dieses Problem gemeldet haben.

  • Safari

    CVE-ID: CVE-2008-0050

    Verfügbar für: Windows XP oder Vista

    Symptom: Ein bösartiger Proxy-Server beeinträchtigt·unter Umständen die Zuverlässigkeit sicherer Websites

    Beschreibung: Ein bösartiger HTTPS-Proxy-Server gibt über den "Fehler 502: Ungültiges Gateway" möglicherweise willkürliche Daten an CFNetwork zurück, wodurch die Zuverlässigkeit sicherer Websites beeinträchtigt werden kann. Mit dieser Aktualisierung wird das Problem dadurch behoben, dass ein Fehler zu einem Proxyfehler ausgegeben wird, anstatt die vom Proxy gelieferten Daten zurückzugeben. Dieses Problem wurde bereits in Mac OS X 10.5.2 und im Security Update 2008-002 für Mac OS X 10.4.11 Systeme gelöst.

  • Safari

    CVE-ID: CVE-2008-1001

    Verfügbar für: Windows XP oder Vista

    Symptom: Der Besuch einer in böser Absicht erstellten Website kann zu siteübergreifendem Scripting führen.

    Beschreibung: Auf der Safari Fehlerseite besteht ein siteübergreifendes Scripting-Problem. Indem ein Benutzer dazu verleitet wird, eine in böser Absicht erstellte URL-Adresse zu öffnen, kann ein Angreifer die Preisgabe vertraulicher Informationen verursachen. Mit dieser Aktualisierung wird das Problem durch Ausführen einer zusätzlichen URL-Überprüfung behoben. Dieses Problem betrifft keine Systeme, auf denen Mac OS X ausgeführt wird. Wir danken Robert Swiecki vom Google Information Security Team für die Meldung dieses Problems.

  • Safari

    CVE-ID: CVE-2008-1002

    Verfügbar für: Mac OS X v10.4.11, Mac OS X v10.5.2, Windows XP oder Vista

    Symptom: Der Besuch einer in böser Absicht erstellten Website kann zu siteübergreifendem Scripting führen.

    Beschreibung: Bei der Verarbeitung von javascript: URLs besteht ein siteübergreifendes Scripting-Problem. Indem ein Benutzer dazu verleitet wird, eine in böser Absicht erstellte Webseite zu besuchen, kann die Ausführung von JavaScript im Kontext einer anderen Website zugelassen werden. Mit dieser Aktualisierung wird das Problem durch Ausführen einer Überprüfung von javascript: URLs behoben. Wir danken Robert Swiecki vom Google Information Security Team für die Meldung dieses Problems.

  • WebCore

    CVE-ID: CVE-2008-1003

    Verfügbar für: Mac OS X v10.4.11, Mac OS X v10.5.2, Windows XP oder Vista

    Symptom: Der Besuch einer in böser Absicht erstellten Website kann zu siteübergreifendem Scripting führen.

    Beschreibung: Es besteht ein Problem bei der Behandlung von Webseiten, für die die Eigenschaft "document.domain" explizit festgelegt ist. Dies könnte auf Sites, mit deren Hilfe die Eigenschaft "document.domain" festgelegt wird oder zwischen HTTP- und HTTPS-Sites mit derselben document.domain zu einem siteübergreifenden Scripting-Angriff führen. Das Problem wird mit dieser Aktualisierung durch Optimierungen der Überprüfungen identischer Ursprünge behoben. Wir danken Adam Barth und Collin Jackson von der Stanford University für die Meldung dieses Problems.

  • WebCore

    CVE-ID: CVE-2008-1004

    Verfügbar für: Mac OS X v10.4.11, Mac OS X v10.5.2, Windows XP oder Vista

    Symptom: Die Verwendung der Webinformationen auf einer in böser Absicht erstellten Website kann zu siteübergreifendem Scripting führen.

    Beschreibung: Druch ein Problem in den Webinformationen wird zugelassen, dass eine überprüfte Seite seine Rechte eskaliert, indem ein Skript eingeschleust wird, das in anderen Domänen ausgeführt und vom Dateisystem des Benutzers gelesen wird. Mit dieser Aktualisierung wird das Problem dadurch behoben, dass das Ausführen von Javascript-Code auf entfernten Seiten ausgeführt wird. Wir danken Collin Jackson und Adam Barth von der Stanford University für die Meldung dieses Problems.

  • WebCore

    CVE-ID: CVE-2008-1005

    Verfügbar für: Mac OS X v10.4.11, Mac OS X v10.5.2, Windows XP oder Vista

    Symptom: Bei Verwendung der Kotoeri-Rückkonvertierung in einem Kennwortfeld wird das Kennwort angezeigt.

    Beschreibung: Der Inhalt von Kennwortfeldern auf Webseiten wird normalerweise verborgen, um eine Preisgabe an Personen, welche die Anzeige sehen können, zu verhindern. Es besteht ein Problem bei der Verwendung der Kotoeri-Eingabemethode, das dazu führen kann, dass beim Anfordern einer Rückkonvertierung der Inhalt des Kennwortfeldes angezeigt wird. Mit dieser Aktualisierung wird das Problem dadurch behoben, dass beim Verwenden der Kotoeri-Rückkonvertierung der Inhalt von Kennwortfeldern nicht mehr preisgegeben wird.

  • WebCore

    CVE-ID: CVE-2008-1006

    Verfügbar für: Mac OS X v10.4.11, Mac OS X v10.5.2, Windows XP oder Vista

    Symptom: Der Besuch einer in böser Absicht erstellten Website kann zu siteübergreifendem Scripting führen.

    Die Funktion "window.open()" kann verwendet werden, um den Sicherheitskontext einer Webseite in den Kontext des Aufrufenden zu ändern. Indem ein Benutzer dazu verleitet wird, eine in böser Absicht erstellte Seite zu öffnen, kann im Sicherheitskontext des Benutzers ein willkürliches Skript ausgeführt werden. Mit dieser Aktualisierung wird das Problem dadurch behoben, dass eine Änderung des Sicherheitskontextes nicht zulässig ist. Wir danken Adam Barth und Collin Jackson von der Stanford University für die Meldung dieses Problems.

  • WebCore

    CVE-ID: CVE-2008-1007

    Verfügbar für: Mac OS X v10.4.11, Mac OS X v10.5.2, Windows XP oder Vista

    Symptom: Der Besuch einer in böser Absicht erstellten Website kann zu siteübergreifendem Scripting mit Java führen.

    Beschreibung: Die Frame-Navigationsrichtlinie wird für Java-Applets nicht umgesetzt. Indem ein Benutzer dazu verleitet wird, eine in böser Absicht erstellte Webseite zu öffnen, kann ein Angreifer durch eine siteübergreifende Scripting-Attacke mit Java höhere Rechte erlangen. Mit dieser Aktualisierung wird das Problem gelöst, indem eine Frame-Navigationsrichtlinie für Java-Applets erzwungen wird. Wir danken Adam Barth und Collin Jackson von der Stanford University für die Meldung dieses Problems.

  • WebCore

    CVE-ID: CVE-2008-1008

    Verfügbar für: Mac OS X v10.4.11, Mac OS X v10.5.2, Windows XP oder Vista

    Symptom: Der Besuch einer in böser Absicht erstellten Website kann zu siteübergreifendem Scripting führen.

    Beschreibung: Bei der Behandlung der Eigenschaft "document.domain" in Safari besteht ein siteübergreifendes Scripting-Problem. Indem ein Benutzer dazu verleitet wird, eine in böser Absicht erstellte Webseite zu besuchen, können vertrauliche Daten preisgegeben werden. Mit dieser Aktualisierung wird das Problem dadurch behoben, dass eine zusätzliche Überprüfung der Eigenschaft "document.domain" erfolgt. Wir danken Feng Qian für die Meldung dieses Problems.

  • WebCore

    CVE-ID: CVE-2008-1009

    Verfügbar für: Mac OS X v10.4.11, Mac OS X v10.5.2, Windows XP oder Vista

    Symptom: Der Besuch einer in böser Absicht erstellten Website kann zu siteübergreifendem Scripting führen.

    Beschreibung: Bei der Behandlung des Verlaufsobjekts besteht ein JavaScript-Einschleuseproblem. Dieses kann Frames erlauben, die Verlaufsobjekt-Eigenschaften in allen anderen Frames festzulegen, die von derselben Webseite geladen werden. Ein Angreifer kann dieses Problem ausnutzen, um JavaScript einzuschleusen, das im Kontext anderer Frames ausgeführt wird und so zu siteübergreifendem Scripting führt. Mit dieser Aktualisierung wird das Problem dadurch behoben, dass das Ändern des Verlaufsobjekts durch Webseiten nicht mehr zulässig ist.

  • WebKit

    CVE-ID: CVE-2008-1010

    Verfügbar für: Mac OS X v10.4.11, Mac OS X v10.5.2, Windows XP oder Vista

    Symptom: Der Besuch einer in böswilliger·Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Code-Ausführung führen.

    Beschreibung: Bei der Verarbeitung von regulären JavaScript-Ausdrücken von WebKit existiert ein Pufferüberlauf-Problem. Indem ein Benutzer dazu verleitet wird, eine in böser Absicht erstellte Webseite zu besuchen, kann eine unerwartete Programmbeendigung oder die Ausführung willkürlichen Codes verursacht werden. Mit dieser Aktualisierung wird das Problem durch eine verbesserte Abgrenzungsüberprüfung behoben. Wir danken Eric Seidel vom WebKit Open Source Project sowie Tavis Ormandy und Will Drewry vom Google Security Team für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2008-1011

    Verfügbar für: Mac OS X v10.4.11, Mac OS X v10.5.2, Windows XP oder Vista

    Symptom: Der Besuch einer in böser Absicht erstellten Website kann zu siteübergreifendem Scripting führen.

    Beschreibung: Durch ein siteübergreifendes Scripting-Problem werden Methodeninstanzen eines Frames im Kontext eines anderen Frames aufgerufen. Indem ein Benutzer dazu verleitet wird, eine in böser Absicht erstellte Webseite zu besuchen, können vertrauliche Daten preisgegeben werden. Mit dieser Aktualisierung wird das Problem durch verbesserte domänenübergreifende Methodenaufrufe behoben. Wir danken David Bloom für die Meldung dieses Problems.

Wichtig: Informationen zu Produkten, die nicht von Apple hergestellt wurden, werden zu Informationszwecken zur Verfügung gestellt und stellen keine Empfehlung oder Billigung seitens Apple dar. Für weitere Informationen wenden Sie sich bitte an den Hersteller.

Zuletzt geändert:
Hilfreich?

Zusätzliche Supportinformationen zum Produkt

Deutschland (Deutsch)