Sprachen

Archived - Informationen über den Sicherheitsinhalt von Safari 3.1.1

In diesem Dokument wird der Sicherheitsinhalt von Safari 3.1.1 beschrieben. Dieser kann mit Hilfe der Option Software-Aktualisierung oder über die Apple Downloads geladen und installiert werden.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Programmkorrekturen oder Versionen verfügbar sind. Nähere Informationen zur Apple Produktsicherheit finden Sie auf der Website Produktsicherheit von Apple.

Informationen zum Apple Produktsicherheits-PGP-Schlüssel finden Sie hier: "How to use the Apple Product Security PGP Key".

Nach Möglichkeit werden für die Bezugnahme auf die Schwachstellen zur weiteren Information CVE IDs verwendet.

Informationen zu weiteren Security Updates finden Sie hier: "Apple Security Updates".

Dieser Artikel wurde archiviert und wird von Apple nicht mehr aktualisiert.

Safari 3.1.1

  • Safari
    CVE-ID: CVE-2007-2398
    Verfügbar für: Windows XP oder Vista
    Symptom: Eine in böswilliger·Absicht erstellte Website kann den Inhalt der Adressleiste kontrollieren
    Beschreibung: Ein Problem im Zeitverhalten bei Safari 3.1 erlaubt einer Webseite, den Inhalt der Adressleiste zu ändern, ohne dass die Inhalte der entsprechenden Seite geladen werden. Dies könnte dazu ausgenutzt werden, den Inhalt einer legalen Website vorzutäuschen und damit Anmeldedaten oder andere Angaben von Benutzern zu erfassen. Das Problem wurde in Safari Beta 3.0.2 berücksichtigt, in Safari 3.1 jedoch wieder eingeführt. Dieses Update behebt das Problem, indem der Inhalt der Adressleiste wiederhergestellt wird, sobald die Anfrage nach einer neuen Webseite beendet wird. Dieses Problem betrifft keine Systeme, auf denen Mac OS X ausgeführt wird.

     

  • Safari
    CVE-ID: CVE-2008-1024
    Verfügbar für: Windows XP oder Vista
    Symptom: Der Besuch einer in böswilliger·Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Code-Ausführung führen.
    Beschreibung: Beim Datei-Download in Safari tritt·ein Memory Corruption-Problem·auf. Indem ein Benutzer zum Download einer Datei mit einem in böswilliger Absicht erstellten Namen verleitet wird, kann ein Angreifer eine unerwartete Programmbeendigung oder eine willkürliche Ausführung von Code herbeiführen. Mit diesem Update wird das Problem durch verbesserte Handhabung von Datei-Downloads behoben. Dieses Problem betrifft keine Systeme, auf denen Mac OS X ausgeführt wird.

     

  • WebKit
    CVE-ID: CVE-2008-1025
    Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2, Windows XP oder Vista
    Symptom:·Der Besuch einer in böswilliger Absicht erstellten Website kann zu Website-übergreifendem Skripting führen.
    Beschreibung: In WebKit tritt ein Problem bei der Behandlung von URLs auf, deren Hostname einen Doppelpunkt enthält. Das Öffnen einer in böswilliger Absicht erstellten URL kann zu Website-übergreifenden Skripting-Angriffen führen. Das vorliegende Update löst dieses Problem durch verbessertes URL-Handling. Unser Dank gilt Robert Swiecki des Google Information Security-Teams und David Bloom für das Melden·dieses Problems.

     

  • WebKit
    CVE-ID: CVE-2008-1026
    Verfügbar für: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2, Windows XP oder Vista
    Symptom: Das Anzeigen einer in böser Absicht erstellten Webseite·kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Ausführung von Code führen.
    Beschreibung: In WebKit tritt ein Heap-Puffer-Überlauf bei der Behandlung regulärer JavaScript-Ausdrücke auf. Das Problem kann durch JavaScript ausgelöst werden, wenn reguläre Ausdrücke mit großen, verschachtelten Wiederholungen verarbeitet werden. Dies kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Ausführung von Code führen. Mit diesem Update wird das Problem durch Ausführen einer zusätzlichen Validierung regulärer JavaScript-Ausdrücke behoben. Unser Dank gilt Charlie Miller für das·Melden dieser Probleme.

Wichtig: Informationen zu Produkten, die nicht von Apple hergestellt wurden, werden zu Informationszwecken zur Verfügung gestellt und stellen keine Empfehlung oder Billigung seitens Apple dar. Für weitere Informationen wenden Sie sich bitte an den Hersteller.

Zuletzt geändert: 06.11.2011
Hilfreich?
Ja
Nein
  • Last Modified: 06.11.2011
  • Article: HT1467
  • Views:

    600

Zusätzliche Supportinformationen zum Produkt