À propos du contenu sécuritaire de Safari 3.1

Safari 3.1

• Safari

  Référence CVE : CVE-2007-4680

  Disponible pour : Windows XP ou Vista

  Impact : Un attaquant distant peut provoquer l’affichage d’un certificat non fiable comme étant fiable

  Description : Il existe un problème au niveau de la validation des certificats. Une attaque « Man in the middle » peut diriger l’utilisateur vers un site légitime disposant d’un certificat SSL valide, puis le rediriger vers un site web usurpé affiché à tort comme étant fiable. Cela peut permettre la collecte d’informations d’authentification ou autres. Cette mise à jour corrige le problème par une validation améliorée des certificats. Ce problème est résolu pour Mac OS X dans Security Update 2007-008 et intégré dans Mac OS X 10.4.11 et Mac OS X 10.5 ou ultérieur. Nous remercions Marko Karppinen, Petteri Kamppuri et Nikita Zhuk de MK&C pour avoir signalé ce problème.

• Safari

  Référence CVE : CVE-2008-0050

  Disponible pour : Windows XP ou Vista

  Impact : Un serveur proxy malveillant peut détourner les sites Web sécurisés

  Description : Un serveur proxy HTTPS malveillant peut renvoyer les données arbitraires vers CFNetwork sous forme d'une erreur 502 Passerelle incorrecte, ce qui peut permettre de détourner un site Web sécurisé. Cette mise à jour résout le problème en renvoyant une erreur sur une erreur proxy, au lieu de renvoyer les données fournies par le proxy. Ce problème a été résolu dans Mac OS X 10.5.2 ainsi que dans Security Update 2008-002 pour les systèmes Mac OS X 10.4.11.

• Safari

  Référence CVE : CVE-2008-1001

  Disponible pour : Windows XP ou Vista

  Impact : La consultation d’un site web construit de manière malveillante peut provoquer un scriptage intersite

  Description : Il existe un problème de scriptage intersite dans la page d’erreur de Safari. En poussant un utilisateur à ouvrir une URL construite de manière malveillante, un attaquant peut provoquer la divulgation d’informations sensibles. Cette mise à jour résout le problème en réalisant des validations supplémentaires sur les URL. Ce problème n'affecte pas les systèmes Mac OS X. Nous remercions Robert Swiecki de l’équipe sécurité Google Information Security Team pour avoir signalé ce problème.

• Safari

  Référence CVE : CVE-2008-1002

  Disponible pour : Mac OS X 10.4.11, Mac OS X 10.5.2, Windows XP ou Vista

  Impact : La consultation d’un site web construit de manière malveillante peut provoquer un scriptage intersite

  Description : Il existe un problème de scriptage intersite dans le traitement des URL. Pousser un utilisateur à consulter une page web construite de manière malveillante peut provoquer l’exécution de JavaScript dans le cadre d’un autre site. Cette mise à jour résout le problème en réalisant des validations supplémentaires d'URL par le biais de de scripts JavaScript. Nous remercions Robert Swiecki de l’équipe sécurité Google Information Security Team pour avoir signalé ce problème.

• WebCore

  Référence CVE : CVE-2008-1003

  Disponible pour : Mac OS X 10.4.11, Mac OS X 10.5.2, Windows XP ou Vista

  Impact : La consultation d’un site web construit de manière malveillante peut provoquer un scriptage intersite

  Description : Il existe un problème de gestion des pages web ayant explicitement défini la propriété document.domain. Cela peut provoquer une attaque de scriptage intersite sur les sites ayant défini la propriété document.domain ou entre des sites HTTP et HTTPS disposant de la même propriété document.domain. Cette mise à jour résout le problème en améliorant les vérifications d’origine commune. Nous remercions Adam Barth et Collin Jackson de l’Université de Stanford pour avoir signalé ce problème.

• WebCore

  Référence CVE : CVE-2008-1004

  Disponible pour : Mac OS X 10.4.11, Mac OS X 10.5.2, Windows XP ou Vista

  Impact : L’utilisation de l’inspecteur web sur un site web construit de manière malveillante peut provoquer un scriptage intersite.

  Description : Un problème au niveau de l’inspecteur web permet à une page en cours d’inspection d’augmenter ses autorisations en injectant un script qui s’exécutera dans d’autres domaines et lira le système de fichiers de l’utilisateur. Cette mise à jour résout le problème en empêchant l’exécution de codes JavaScript sur les pages distantes. Nous remercions Collin Jackson et Adam Barth de l’Université de Stanford pour avoir signalé ce problème.

• WebCore

  Référence CVE : CVE-2008-1005

  Disponible pour : Mac OS X 10.4.11, Mac OS X 10.5.2, Windows XP ou Vista

  Impact : L’utilisation de la conversion inverse Kotoeri sur un champ de mot de passe affiche le mot de passe.

  Impact : Le contenu de champs de mot de passe sur les pages web est normalement masqué pour éviter qu’il soit visible par d’autres personnes. Un problème existe au niveau de l’utilisation de la méthode de saisie Kotoeri, qui peut provoquer l’affichage à l’écran du contenu du champ de mot de passe lorsque la conversion inverse est demandée. Cette mise à jour résout le problème en n’affichant plus le contenu des champs de mot de passe en cas d’utilisation de la conversion inverse Kotoeri.

• WebCore

  Référence CVE : CVE-2008-1006

  Disponible pour : Mac OS X 10.4.11, Mac OS X 10.5.2, Windows XP ou Vista

  Impact : La consultation d’un site web construit de manière malveillante peut provoquer un scriptage intersite

  Description : La fonction window.open() peut être utilisée pour modifier le contexte de sécurité d’une page web en fonction du contexte de l’appelant. Pousser un utilisateur à ouvrir une page construite de manière malveillante peut provoquer l’exécution d’un script arbitraire dans le contexte de sécurité de l’utilisateur. Cette mise à jour résout le problème en n’autorisant pas la modification du contexte de sécurité. Nous remercions Adam Barth et Collin Jackson de l’Université de Stanford pour avoir signalé ce problème.

• WebCore

  Référence CVE : CVE-2008-1007

  Disponible pour : Mac OS X 10.4.11, Mac OS X 10.5.2, Windows XP ou Vista

  Impact : La consultation d’un site web construit de manière malveillante peut provoquer un scriptage intersite utilisant Java.

  Description : La stratégie de navigation dans les cadres n’est pas imposée pour les applets Java. En poussant un utilisateur à ouvrir une page web construite de manière malveillante, un attaquant peut obtenir des permissions élevées via une attaque par scriptage intersite utilisant Java. Cette mise à jour résout le problème en imposant la stratégie de navigation dans les cadres pour les applets Java. Nous remercions Adam Barth et Collin Jackson de l’Université de Stanford pour avoir signalé ce problème.

• WebCore

  Référence CVE : CVE-2008-1008

  Disponible pour : Mac OS X 10.4.11, Mac OS X 10.5.2, Windows XP ou Vista

  Impact : La consultation d’un site web construit de manière malveillante peut provoquer un scriptage intersite

  Description : Il existe un problème de scriptage intersite dans la gestion par Safari de la propriété document.domain. Pousser un utilisateur à consulter une page web construite de manière malveillante peut provoquer la divulgation d’informations sensibles. Cette mise à jour résout le problème en réalisant une validation supplémentaire sur la propriété document.domain. Nous remercions Feng Qian de nous avoir signalé ce problème.

• WebCore

  Référence CVE : CVE-2008-1009

  Disponible pour : Mac OS X 10.4.11, Mac OS X 10.5.2, Windows XP ou Vista

  Impact : La consultation d’un site web construit de manière malveillante peut provoquer un scriptage intersite.

  Description : Il existe un problème d’injection JavaScript dans la gestion de l’objet history. Cela peut permettre à des cadres de définir les propriétés de l’objet history dans tous les autres cadres chargés depuis la même page web. Un attaquant peut exploiter ce problème en injectant un script JavaScript qui s’exécutera dans le contexte d’autres cadres, provoquant ainsi un scriptage intersite. Cette mise à jour résout le problème en n’autorisant plus les pages web à modifier l’objet history.

• WebKit

  Référence CVE : CVE-2008-1010

  Disponible pour : Mac OS X 10.4.11, Mac OS X 10.5.2, Windows XP ou Vista

  Impact : La consultation·d’un site Web malveillant peut entraîner la fermeture inopinée d'une application ou l'exécution arbitraire de code.

  Description : Il existe un problème de dépassement de mémoire tampon au niveau de la gestion par WebKit des expressions JavaScript régulières. Pousser un utilisateur à consulter une page web construite de manière malveillante peut provoquer un blocage inattendu d’application ou l’exécution de code quelconque. Cette mise à jour résout le problème par des contrôles de limitation améliorés. Nous remercions Eric Seidel du projet WebKit Open Source Project, et Tavis Ormandy et Will Drewry de l’équipe sécurité de Google pour avoir signalé ce problème.

• WebKit

  Référence CVE : CVE-2008-1011

  Disponible pour : Mac OS X 10.4.11, Mac OS X 10.5.2, Windows XP ou Vista

  Impact : La consultation d’un site web construit de manière malveillante peut provoquer un scriptage intersite.

  Description : Un problème de scriptage intersite dans WebKit permet d’appeler des instances de méthodes d’un cadre dans le contexte d’un autre cadre. Pousser un utilisateur à consulter une page web construite de manière malveillante peut provoquer la divulgation d’informations sensibles. Cette mise à jour corrige le problème par une gestion améliorée des appels de méthodes entre domaines. Nous remercions David Bloom pour avoir signalé ce problème.