Om sikkerhedsindholdet i Safari 3.1

  • Dato for seneste ændring: 12 november, 2008
  • Artikel: HT1315
  • Gammel artikel: 307563

Oversigt

Dette dokument beskriver sikkerhedsindholdet i Safari 3.1, som kan hentes og installeres via Softwareopdatering eller fra Apple Downloads.

For at beskytte vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple Produktsikkerhed, kan du besøge webstedet Apple Produktsikkerhed.

Gå til "Sådan bruges PGP-nøglen til Apple Produktsikkerhed" for at få oplysninger om PGP-nøglen til Apple Produktsikkerhed.

Hvor det er muligt, anvendes CVE-ID'er til at angive sikkerhedshullerne for yderligere oplysninger.

Gå til "Apple Sikkerhedsopdateringer", hvis du vil læse om andre sikkerhedsopdateringer.

Berørte produkter

Produktsikkerhed, Safari 3 (Mac OS X 10.5)

Safari 3.1

  • Safari

    CVE-ID: CVE-2007-4680

    Fås til: Windows XP eller Vista

    Effekt: En ekstern angriber kan få et upålideligt certifikat til at se pålideligt ud

    Beskrivelse: Der er et problem med valideringen af certifikater. Et MITM-angreb kan føre en bruger til et legitimt websted med et gyldig SSL-certifikat, og derefter føre brugeren til et svindelwebsted som ukorrekt vises at være pålideligt. Dette kan gøre det muligt at indsamle brugerlegitimation eller andre oplysninger. Denne opdatering løser problemet via forbedret validering af certifikater. Dette problem er løst for Mac OS X i Sikkerhedsopdatering 2007-008, og er inkorporeret i Mac OS X v10.4.11 og Mac OS X v10.5 eller nyere. Tak til Marko Karppinen, Petteri Kamppuri og Nikita Zhuk fra MK&C, som har rapporteret dette problem.

  • Safari

    CVE-ID: CVE-2008-0050

    Fås til: Windows XP eller Vista

    Effekt: En ondsindet proxyserver kan snyde sikre websteder

    Beskrivelse: En ondsindet HTTPS-proxyserver kan returnere vilkårlige data til et CFNetwork med fejlen 502 ugyldig gateway, hvilket kan snyde et sikkert websted. Denne opdatering løser problemet ved at returnere en fejl på enhver proxyfejl, i stedet for at returnere de data, der leveres af proxyen. Dette problem er allerede løst i Mac OS X 10.5.2 og i Sikkerhedsopdatering 2008-002 til Mac OS X 10.4.11-systemer.

  • Safari

    CVE-ID: CVE-2008-1001

    Fås til: Windows XP eller Vista

    Effekt: Besøg på et skadeligt websted kan resultere i scripting på tværs af websteder

    Beskrivelse: Der er et problem med indsættelse af scripting på tværs af websteder på Safaris fejlside. Ved at friste en bruger til at åbne en skadelig URL, kan en angriber forårsage offentliggørelse af følsomme oplysninger. Denne opdatering løser problemet ved at udføre en ekstra validering af URL'er. Dette problem påvirker ikke Mac OS X-systemer. Tak til Robert Swiecki fraGoogle Information Security Team, som har rapporteret dette problem.

  • Safari

    CVE-ID: CVE-2008-1002

    Fås til: Mac OS X v10.4.11, Mac OS X v10.5.2, Windows XP eller Vista

    Effekt: Besøg på et skadeligt websted kan resultere i scripting på tværs af websteder

    Beskrivelse: Der er et problem med scripting på tværs af websteder ved behandlingen af JavaScript-URL'er. Ved at friste en bruger til at besøge et skadeligt websted kan en angriber forårsage udførelse af JavaScript i et andet websteds kontekst. Denne opdatering løser problemet ved at udføre en ekstra validering af JavaScript-URL'er. Tak til Robert Swiecki fraGoogle Information Security Team, som har rapporteret dette problem.

  • WebCore

    CVE-ID: CVE-2008-1003

    Fås til: Mac OS X v10.4.11, Mac OS X v10.5.2, Windows XP eller Vista

    Effekt: Besøg på et skadeligt websted kan resultere i scripting på tværs af websteder

    Beskrivelse: Der er et problem med håndteringen af websteder der udtrykkeligt har indstillet egenskaben document.domain. Dette kan medføre et angreb med scripting på tværs af websteder på websteder, der har indstillet egenskaben document.domain, eller mellem HTTP- og HTTPS-websteder med det samme document.domain. Denne opdatering løser problemet ved at forbedre same-origin-kontrollen. Tak til Adam Barth og Collin Jackson fra Stanford Universitetet, som har rapporteret dette problem.

  • WebCore

    CVE-ID: CVE-2008-1004

    Fås til: Mac OS X v10.4.11, Mac OS X v10.5.2, Windows XP eller Vista

    Effekt: Brug af Web Inspector på et skadeligt websted kan resultere i scripting på tværs af websteder

    Beskrivelse: Et problem i Web Inspector gør det muligt for rettighederne for den side, der inspiceres, at blive eskaleret ved at der indsættes kode, som udføres i andre domæner og læser brugerens arkivsystem. Denne opdatering løser problemet ved at forhindre at JavaScript-kode fra eksterne sider udføres. Tak til Collin Jackson og Adam Barth fra Stanford Universitetet, som har rapporteret dette problem.

  • WebCore

    CVE-ID: CVE-2008-1005

    Fås til: Mac OS X v10.4.11, Mac OS X v10.5.2, Windows XP eller Vista

    Effekt: Brug af omvendt Kotoeri-konvertering på et adgangskodefelt viser adgangskoden

    Beskrivelse: Indholdet af adgangskodefelter på websteder er almindeligvis skjult for at forhindre, at det er synligt for andre med mulighed for at se skærmen. Der er et problem med brugen af Kotoeri-input-metoden, som kan resultere i afsløring af adgangskodefeltets indhold på skærmen, når der anmodes om omvendt konvertering. Denne opdatering løser problemet ved ikke længere at afsløre indholdet af adgangskodefelter ved brug af omvendt Kotoeri-konvertering.

  • WebCore

    CVE-ID: CVE-2008-1006

    Fås til: Mac OS X v10.4.11, Mac OS X v10.5.2, Windows XP eller Vista

    Effekt: Besøg på et skadeligt websted kan resultere i scripting på tværs af websteder

    Beskrivelse: Funktionen, window.open(), kan bruges til at ændre et websteds sikkerhedskontekst til brugerens kontekst. Ved at friste en bruger til at åbne et skadeligt websted kan en angriber udføre tilfældig kode i brugerens sikkerhedskontekst. Denne opdatering løser problemet ved ikke at tillade ændringer af sikkerhedskonteksten. Tak til Adam Barth og Collin Jackson fra Stanford Universitetet, som har rapporteret dette problem.

  • WebCore

    CVE-ID: CVE-2008-1007

    Fås til: Mac OS X v10.4.11, Mac OS X v10.5.2, Windows XP eller Vista

    Effekt: Besøg på et skadeligt websted kan resultere i scripting på tværs af websteder ved hjælp af Java

    Beskrivelse: Reglerne for navigering i rammer håndhæves ikke for Java-miniprogrammer. Ved at friste en bruger til at åbne et skadeligt websted, kan en angriber opnå systemrettigheder via scripting på tværs af websteder ved hjælp af Java. Denne opdatering løser problemet ved at håndhæve reglerne for navigering i rammer for Java-miniprogrammer. Tak til Adam Barth og Collin Jackson fra Stanford Universitetet, som har rapporteret dette problem.

  • WebCore

    CVE-ID: CVE-2008-1008

    Fås til: Mac OS X v10.4.11, Mac OS X v10.5.2, Windows XP eller Vista

    Effekt: Besøg på et skadeligt websted kan resultere i scripting på tværs af websteder

    Beskrivelse: Der er et problem med scripting på tværs af websteder i Safaris håndtering af egenskaben document.domain. Ved at friste en bruger til at besøge et skadeligt websted kan en angriber forårsage offentliggørelse af følsomme oplysninger. Denne opdatering løser problemet via yderligere validering af egenskaben document.domain. Tak til Feng Qian, som har rapporteret dette problem.

  • WebCore

    CVE-ID: CVE-2008-1009

    Fås til: Mac OS X v10.4.11, Mac OS X v10.5.2, Windows XP eller Vista

    Effekt: Besøg på et skadeligt websted kan resultere i scripting på tværs af websteder

    Beskrivelse: Der er et problem med indsættelse af JavaScript i håndteringen af historikobjektet. Dette kan gøre det muligt for rammer at indstille egenskaber for historikobjektet i alle andre rammer, der indlæses fra det samme websted. En angriber kan udnytte dette problem til at indsætte JavaScript, som udføres i konteksten af andre rammer, hvilket resulterer i scripting på tværs af websteder. Denne opdatering løser problemet ved ikke længere at tillade, at websteder ændrer historikobjektet.

  • WebKit

    CVE-ID: CVE-2008-1010

    Fås til: Mac OS X v10.4.11, Mac OS X v10.5.2, Windows XP eller Vista

    Effekt: Et besøg på et skadeligt websted kan føre til uventet programnedbrud eller udførelse af tilfældig kode

    Beskrivelse: Der er bufferoverløb i WebKits håndtering af almindelige JavaScript-udtryk. Ved at friste en bruger til at besøge en skadeligt websted, kan en angriber fremkalde uventet programafslutning eller udførelse af tilfældig kode. Denne opdatering løser problemet via forbedret kontrol af grænser. Tak til Eric Seidel fra WebKit Open Source Project og Tavis Ormandy og Will Drewry fra Google Security Team, som har rapporteret dette problem.

  • WebKit

    CVE-ID: CVE-2008-1011

    Fås til: Mac OS X v10.4.11, Mac OS X v10.5.2, Windows XP eller Vista

    Effekt: Besøg på et skadeligt websted kan resultere i scripting på tværs af websteder

    Beskrivelse: Der er et problem med scripting på tværs af websteder i WebKit som giver mulighed for at metodeinstanser fra den ene ramme kan kaldes i konteksten af en anden ramme. Ved at friste en bruger til at besøge et skadeligt websted kan en angriber forårsage offentliggørelse af følsomme oplysninger. Denne opdatering korrigerer problemet via en forbedret håndtering af metodekald på tværs af domæner. Tak til David Bloom, som har rapporteret dette problem.

Important: Information about products not manufactured by Apple is provided for information purposes only and does not constitute Apple’s recommendation or endorsement. Please contact the vendor for additional information.

Not helpful Somewhat helpful Helpful Very helpful Solved my problem