Om säkerhetsinnehållet i Safari 3.1.1

  • Senast ändrad: 05 maj, 2008
  • Artikel: HT1467

Översikt

Detta dokument beskriver säkerhetsinnehållet i Safari 3.1.1, som kan hämtas och installeras via inställningspanelen Programuppdatering eller från webbsidan Apple Downloads.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har utförts och alla nödvändiga patchar eller utgåvor är tillgängliga. Gå till webbplatsen Apple Product Security för mer information om Apples produktsäkerhet.

Information om Apples PGP-nyckel för produktsäkerhet finns på sidan "How to use the Apple Product Security PGP Key".

Om möjligt används CVE-ID:n som referenser till ytterligare information om sårbarheterna.

Gå till sidan "Apple Security Updates" för information om andra säkerhetsuppdateringar.

Berörda produkter

Produktsäkerhet, Safari 3.1, Safari 3 (Windows)

Safari 3.1.1

  • Safari
    CVE-ID: CVE-2007-2398
    Tillgänglig för: Windows XP och Vista
    Inverkan: En uppsåtligt skapad webbplats kan reglera innehållet i adressfältet.
    Beskrivning: På grund av ett timingproblem i Safari 3.1 kan adressfältets innehåll ändras, utan att motsvarande sidas innehåll läses in. Det kan användas i syfte att samla in inloggningsuppgifter eller annan information genom att förfalska (spoofing) innehållet på en vanlig webbplats. Problemet åtgärdades i Safari Beta 3.0.2, men inträffade igen i Safari 3.1. Den här uppdateringen åtgärdar problemet genom att återställa adressfältets innehåll om begäran om en ny webbsida avslutas. Detta problem påverkar inte Mac OS X-system.

     

  • Safari
    CVE-ID: CVE-2008-1024
    Tillgänglig för: Windows XP och Vista
    Inverkan: Besök på en uppsåtligt skapad webbplats kan leda till oväntad programavslutning eller exekvering av opålitlig kod.
    Beskrivning: Det finns ett minnesproblem i Safaris filhämtningsfunktion. Genom att locka en användare till att hämta en uppsåtligt skapad fil kan en angripare orsaka oväntad programavslutning eller exekvering av opålitlig kod. Denna uppdatering åtgärdar problemet genom förbättrad hantering av filhämtningar. Det här problemet påverkar inte Mac OS X-systems.

     

  • WebKit
    CVE-ID: CVE-2008-1025
    Tillgänglig för: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2, Windows XP och Vista
    Inverkan: Säkerhetsproblemet ”cross site scripting” kan inträffa om du besöker en webbplats som har skadligt innehåll.
    Beskrivning: WebKit har ett säkerhetsproblem vid hantering av URL:er som innehåller har ett kolon i värdnamnet. Ett cross site scripting-angrepp kan utföras om du besöker en uppsåtligt skapad URL. Denna uppdatering åtgärdar problemet genom förbättrad hantering av URL-adresser. Tack till Robert Swiecki på Google Information Security Team och till David Bloom som rapporterade det här problemet.

     

  • WebKit
    CVE-ID: CVE-2008-1026
    Tillgänglig för: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2, Windows XP och Vista
    Inverkan: Visning av en uppsåtligt skapad webbsida kan leda till oväntad programavslutning eller exekvering av opålitlig kod.
    Beskrivning: Det finns ett problem med heap-buffertspill i WebKits funktion för hantering av reguljära JavaScript-uttryck. Problemet kan utlösas via JavaScript vid bearbetning av reguljära uttryck som innehåller kapslade uttryck för ett stort antal upprepningar. Det kan leda till oväntad programavslutning eller exekvering av opålitlig kod. Denna uppdatering åtgärdar problemet genom att utföra ytterligare verifiering av reguljära JavaScript-uttryck. Tack till Charlie Miller som rapporterade problemet.

Important: Information about products not manufactured by Apple is provided for information purposes only and does not constitute Apple’s recommendation or endorsement. Please contact the vendor for additional information.