Om sikkerhetsinnholdet i Safari 3.1.1

  • Sist endret: 05 mai, 2008
  • Artikkel: HT1467

Oppsummering

Dette dokumentet er en beskrivelse av sikkerhetsinnholdet i Safari 3.1.1, som kan lastes ned og installeres via innstillinger under Programvareoppdatering eller fra Apple-nedlastinger.

Av hensyn til kundenes sikkerhet er det Apples praksis å ikke videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige programoppgraderinger eller -versjoner er tilgjengelige. Du finner mer informasjon om Apples produktsikkerhet på nettstedet Apples produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen for Apples produktsikkerhet under "Slik bruker du PGP-nøkkelen for Apples produktsikkerhet."

Der det er mulig brukes CVE-IDer som referanse til sårbarheter for ytterligere informasjon.

Du finner mer informasjon om andre sikkerhetsoppdateringer i "Apples sikkerhetsoppdateringer."

Berørte produkter

Produktsikkerhet, Safari 3.1, Safari 3 (Windows)

Safari 3.1.1

  • Safari
    CVE-ID: CVE-2007-2398
    Tilgjengelig for: Windows XP eller Vista
    Virkning: Et ondsinnet webområde kan styre innholdet på adresselinjen
    Beskrivelse: Et tidsproblem i Safari 3.1 lar en webside endre innholdet på adresselinjen uten å laste innholdet til tilhørende side. Dette kan brukes til å svindle innholdet på et legitimt område og tillate at brukeropplysninger og annen informasjon samles inn. Dette problemet ble adressert i Safari Beta 3.0.2, med oppstod igjen i Safari 3.1. Denne oppdateringen løser problemet ved å gjenopprette innholdet på adresselinjen hvis en forespørsel om en ny webside termineres. Problemet påvirker ikke Mac OS X-systemer.

     

  • Safari
    CVE-ID: CVE-2008-1024
    Tilgjengelig: Windows XP eller Vista
    Virkning: Besøk på et skadelig nettsted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres
    Beskrivelse: Det er et problem med ødelagt minne i Safaris filnedlasting. Ved å oppfordre en bruker til å laste ned en fil med et skadelig navn, kan en angriper forårsake at et program avsluttes uventet eller at vilkårlig kode kjøres. Denne oppdateringen løser problemet ved forbedret håndtering av filnedlastinger. Problemet påvirker ikke Mac OS X-systemer.

     

  • WebKit
    CVE-ID: CVE-2008-1025
    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2, Windows XP eller Vista
    Virkning: Besøk på et skadelig webområde kan resultere i skripting på tvers av webområder
    Beskrivelse: Det er et problem med WebKits håndtering av URL-adresser som inneholder et kolon-tegn i vertsnavnet. Åpning av en skadelig URL kan føre til angrep med skripting på tvers av webområder. Denne oppdateringen løser problemet ved forbedret håndtering av URL-er. Takk til Robert Swiecki fra Google Information Security Team og David Bloom for rapportering av dette problemet.

     

  • WebKit
    CVE-ID: CVE-2008-1026
    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2, Windows XP eller Vista
    Virkning: Visning av en skadelig webside kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode
    Beskrivelse: Det er en heap-bufferoverflyt i WebKits håndtering av regulære uttrykk i JavaScript. Problemet kan utløses via JavaScript under behandling av regulære uttrykk med store, nestede repetisjonsantall. Dette kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Denne oppdateringen løser problemet ved å utføre ytterligere kontroll og godkjenning av regulære uttrykk i JavaScript. Takk til Charlie Miller for rapportering av disse problemene.

Important: Information about products not manufactured by Apple is provided for information purposes only and does not constitute Apple’s recommendation or endorsement. Please contact the vendor for additional information.