Om sikkerhedsindholdet i Safari 3.1.1
Oversigt
Dette dokument beskriver sikkerhedsindholdet i Safari 3.1.1, som kan hentes og installeres via Softwareopdatering eller fra Apple Downloads.
For at beskytte vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple Produktsikkerhed, kan du besøge webstedet Apple Produktsikkerhed.
Gå til "Sådan bruges PGP-nøglen til Apple Produktsikkerhed" for at få oplysninger om PGP-nøglen til Apple Produktsikkerhed.
Hvor det er muligt, anvendes CVE-ID'er til at angive sikkerhedshullerne for yderligere oplysninger.
Gå til "Apple Sikkerhedsopdateringer", hvis du vil læse om andre sikkerhedsopdateringer.
Berørte produkter
Produktsikkerhed, Safari 3.1, Safari 3 (Windows)
Safari 3.1.1
CVE-ID: CVE-2007-2398
Tilgængelig til: Windows XP eller Vista
Effekt: Et skadeligt websted kan få kontrol over indholdet i adresselinjen
Beskrivelse: På grund af et problem med tidsindstillingerne i Safari 3.1 kan en webside ændre indholdet i adresselinjen uden at indlæse indholdet fra den pågældende side. Dette kan bruges til at efterligne indholdet af et ægte websted og på denne måde indsamle legitimationsoplysninger om brugere, samt andre oplysninger. Dette problem blev løst i Safari Beta 3.0.2, men genopstod i Safari 3.1. Denne opdatering løser problemet ved at gendanne indholdet i adresselinjen, hvis en anmodning om at vise en ny webside annulleres. Dette problem påvirker ikke Mac OS X-systemer.
CVE-ID: CVE-2008-1024
Tilgængelig til: Windows XP eller Vista
Effekt: Et besøg på et skadeligt websted kan føre til uventet programnedbrud eller kørsel af vilkårlig kode
Beskrivelse: Der findes et problem med beskadigelse af hukommelsen i forbindelse med arkivoverførsel i Safari. Ved at friste en bruger til at hente et arkiv med et falsk navn, kan angriberen fremkalde uventet programafslutning eller kørsel af vilkårlig kode. Denne opdatering løser problemet gennem en forbedret håndtering af arkivoverførsler. Dette problem påvirker ikke Mac OS X-systemer.
CVE-ID: CVE-2008-1025
Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2, Windows XP eller Vista
Effekt: Besøg på et skadeligt websted kan resultere i cross-site scripting
Beskrivelse: Der findes et problem med WebKi's håndtering af URL-adresser med et kolon i værtsnavnet. Når en skadelig webadresse åbnes, kan det fremkalde et angreb med cross-site scripting. Denne opdatering løser problemet gennem en forbedret håndtering af URL-adresser. Tak til Robert Swiecki fra Google Information Security Team og David Bloom for at rapportere dette problem.
CVE-ID: CVE-2008-1026
Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2, Windows XP eller Vista
Effekt: Visning af en skadelig webside kan føre til uventet programnedbrud eller kørsel af vilkårlig kode
Beskrivelse: Der sker bufferoverløb i heap under WebKit's håndtering af regulære udtryk i JavaScript. Dette problem kan opstå via JavaScript, når regulære udtryk med et stort antal indlejrede gentagelser behandles. Dette kan føre til uventet programafslutning eller kørsel af vilkårlig kode. Denne opdatering løser problemet ved at udføre yderligere validering af regulære udtryk i JavaScript. Tak til Charlie Miller for at rapportere disse problemer.
Important: Information about products not manufactured by Apple is provided for information purposes only and does not constitute Apple’s recommendation or endorsement. Please contact the vendor for additional information.