Om sikkerhedsindholdet i Safari 3.1.1

I dette dokument beskrives sikkerhedsindholdet i Safari 3.1.1, som kan downloades og installeres via indstillinger for Softwareopdatering eller fra Apple-downloads.

Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed findes i "Sådan bruges PGP-nøglen til Apple-produktsikkerhed".

Hvor det er muligt, bruges der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i "Apple-sikkerhedsopdateringer".

Safari 3.1.1

Safari

CVE-ID: CVE-2007-2398

Fås til: Windows XP eller Vista

Effekt: Et skadeligt websted kan styre indholdet i adresselinjen.

Beskrivelse: Et tidsrelateret problem i Safari 3.1 giver en webside adgang til at ændre indholdet i adresselinjen uden at indlæse indholdet på den tilsvarende side. Dette kan bruges til at efterligne indholdet på et legitimt websted med henblik på at indsamle brugeroplysninger eller andre oplysninger. Problemet blev løst i Safari Beta 3.0.2, men opstod igen i Safari 3.1. Denne opdatering løser problemet ved at gendanne adresselinjens indhold, hvis en anmodning om en ny webside afsluttes. Problemet berører ikke Mac OS X-systemer.

Safari

CVE-ID: CVE-2008-1024

Fås til: Windows XP eller Vista

Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode.

Beskrivelse: Der er et problem med beskadiget hukommelse i Safaris arkivoverførsel. Ved at lokke en bruger til at overføre et arkiv med et skadeligt navn kan en hacker forårsage pludselig programlukning eller kørsel af vilkårlig kode. Denne opdatering løser problemet via en forbedret håndtering af arkivoverførsel. Problemet berører ikke Mac OS X-systemer.

WebKit

CVE-ID: CVE-2008-1025

Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2, Windows XP eller Vista

Effekt: Besøg på et skadeligt websted kan medføre scripting på tværs af websteder.

Beskrivelse: Der er et problem i WebKit med håndteringen af URL-adresser, som indeholder et kolon i værtsnavnet. Åbning af en skadelig URL-adresse kan medføre scripting-angreb på tværs af websteder. Denne opdatering løser problemet via en forbedret håndtering af URL-adresser. Vi vil gerne takke Robert Swiecki fra Google Information Security Team og David Bloom, som har rapporteret problemet.

WebKit

CVE-ID: CVE-2008-1026

Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2, Windows XP eller Vista

Effekt: Visning af en skadelig webside kan medføre pludselig programlukning eller kørsel af vilkårlig kode.

Beskrivelse: Der er et heap-bufferoverløb i forbindelse med WebKits håndtering af regulære udtryk i JavaScript. Problemet kan udløses via JavaScript ved behandling af regulære udtryk med store indlejrede gentagelsestællinger. Dette kan forårsage uventet programlukning eller kørsel af vilkårlig kode. Denne opdatering løser problemet ved at foretage yderligere validering af regulære udtryk i JavaScript. Vi vil gerne takke Charlie Miller, Jake Honoroff og Mark Daniel, der arbejder med TippingPoints Zero Day Initiative, som har rapporteret problemet.