Sprachen

Archived - Informationen über den Sicherheitsinhalt von Safari 4.0

In diesem Dokument wird der Sicherheitsinhalt von Apple Safari 4.0 beschrieben.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Programmkorrekturen oder Versionen verfügbar sind. Nähere Informationen zur Apple Produktsicherheit finden Sie auf der Website Apple Produktsicherheit.

Informationen zum Apple Produktsicherheits-PGP-Schlüssel finden Sie hier: "So verwenden Sie den Apple Produktsicherheits-PGP-Schlüssel".

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE IDs verwendet.

Informationen zu weiteren Security Updates finden Sie unter "Apple Security Updates".

Dieser Artikel wurde archiviert und wird von Apple nicht mehr aktualisiert.

Safari 4.0

  • CFNetwork

    CVE-ID: CVE-2009-1704

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP oder Vista

    Symptom: Geladene Bilddateien können fälschlicherweise für HTML-Dateien gehalten werden und ohne Vorwarnung an den Benutzer zur Ausführung von JavaScript führen.

    Beschreibung: Bilddateien sind "sichere" Dateitypen, die nach dem Laden von Safari angezeigt werden, ohne den Benutzer vorher zu warnen. Durch ein Problem in Safari können bestimmte lokale Bilddateien möglicherweise nicht als solche erkannt werden. In diesem Fall untersucht Safari den Inhalt dieser Dateien und behandelt sie möglicherweise wie HTML-Dateien. Wenn eine Datei JavaScript enthält, wird dieses auf lokaler Ebene ausgeführt. Bei geladenen Dateien sollte dies nicht ohne vorherige Benutzerbenachrichtigung stattfinden. Das Problem wird dadurch gelöst, dass unbekannte Dateitypen wie generische Binärdaten behandelt und die bereits für das Problem bekannten Dateitypen korrekt erkannt werden. Wir danken Sergio "shadown" Alvarez von Recurity Labs GmbH für die Meldung dieses Problems.

  • CFNetwork

    CVE-ID: CVE-2009-1716

    Verfügbar für: Windows XP oder Vista

    Symptom: Lokale Benutzer können die Inhalte von Dateien lesen, die durch andere Benutzer geladen wurden.

    Beschreibung: CFNetwork legt während des Ladevorgangs unsichere temporäre Dateien an. Ein lokaler Benutzer kann möglicherweise auf die von einem anderen Benutzer geladenen Dateien zugreifen, während diese geladen werden. Dies kann zur Preisgabe vertraulicher Informationen führen. Dieses Update löst das Problem, indem es die Dateien in das sichere Benutzerverzeichnis lädt. Mac OS X Systeme: In Mac OS X 10.5.6 ist das Problem nicht mehr vorhanden. Wir danken Billy Rios und Microsoft Vulnerability Research für die Meldung des Problems.

  • CoreGraphics

    CVE-ID: CVE-2008-2321

    Verfügbar für: Windows XP oder Vista

    Symptom: Der Besuch einer in böswilliger·Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Code-Ausführung führen.

    Beschreibung: Bei der Verarbeitung von Argumenten können in CoreGraphics Speicherfehler auftreten. Die Weitergabe ungeprüften Codes an CoreGraphics mittels eines Programms, z. B. eines Webbowsers, kann zu einer unerwarteten Programmbeendigung oder der Ausführung willkürlichen Codes führen. Mit dieser Aktualisierung wird das Problem durch eine verbesserte Abgrenzungsüberprüfung behoben. Mac OS X Systeme: Das Problem wird durch Security Update 2008-005 behoben. Wir danken Michal Zalewski von Google Inc. für die Meldung dieses Problems.

  • CoreGraphics

    CVE-ID: CVE-2009-1705

    Verfügbar für: Windows XP oder Vista

    Symptom: Der Besuch einer in böswilliger·Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Code-Ausführung führen.

    Beschreibung: Bei der Verarbeitung von TrueType-Schriftarten kommt es zu einem Speicherfehler. Ein Rechenfehler beim automatischen Font-Hinting kann zu einem Speicherfehler führen. Der Besuch einer in böswilliger Absicht erstellten Website mit eingebetteten Schriften kann zu einer unerwarteten Programmbeendigung oder zu willkürlicher Codeausführung führen. Diese Aktualisierung löst das Problem durch die verbesserte Überprüfung von TrueType-Schriftdaten. Dieses Problem betrifft keine Mac OS X Systeme. Vielen Dank an Clint Ruoho von Laconic Security und Tavis Ormandy aus dem Google Security Team für die Meldung des Problems.

  • CoreGraphics

    CVE-ID: CVE-2009-0946

    Verfügbar für: Windows XP oder Vista

    Symptom: Mehrere Schwachstellen in FreeType 2.3.8

    Beschreibung: In FreeType 2.3.8 treten mehrere Ganzzahlüberläufe auf, die zu einer unerwarteten Programmbeendigung oder zu willkürlicher Codeausführung führen können. Mit diesem Update werden die Probleme durch verbesserte Abgrenzungsüberprüfungen behoben. CoreGraphics auf Mac OS X Systemen ist von diesem Problem nicht betroffen. Dank an Tavis Ormandy vom Google Security Team für die Meldung dieser Probleme.

  • CoreGraphics

    CVE-ID: CVE-2009-0145

    Verfügbar für: Windows XP oder Vista

    Symptom: Das Öffnen einer in böswilliger Absicht erstellten PDF-Datei kann zu einer unerwarteten Programmbeendigung oder zu willkürlicher Codeausführung führen.

    Beschreibung: Bei der Verarbeitung von PDF-Dateien in CoreGraphics treten mehrere Speicherfehler auf. Das Öffnen einer in böswilliger Absicht erstellten PDF-Datei kann zu einer unerwarteten Programmbeendigung oder zu willkürlicher Codeausführung führen. Mit diesem Update werden die Probleme durch verbesserte Abgrenzungs- und Fehlerüberprüfungen behoben. Systeme mit Mac OS X 10.5: In Mac OS X 10.5.7 tritt das Problem nicht mehr auf. Systeme mit Mac OS X 10.4.11: Das Problem wird durch Security Update 2009-002 behoben.

  • CoreGraphics

    CVE-ID: CVE-2009-1179

    Verfügbar für: Windows XP oder Vista

    Symptom: Das Öffnen einer in böswilliger Absicht erstellten PDF-Datei kann zu einer unerwarteten Programmbeendigung oder zu willkürlicher Codeausführung führen.

    Beschreibung: Bei der Verarbeitung von PDF-Dateien mit JBIG2-Streams durch CoreGraphics tritt ein Ganzzahlüberlauf auf. Das Öffnen einer PDF-Datei mit einem in böswilliger Absicht erstellten JBIG2-Stream kann zu einer unerwarteten Programmbeendigung oder zu willkürlicher Codeausführung führen. Mit dieser Aktualisierung wird das Problem durch eine verbesserte Abgrenzungsüberprüfung behoben. Wir danken Will Dormann von CERT/CC für die Meldung des Problems.

  • ImageIO

    CVE-ID: CVE-2009-0040

    Verfügbar für: Windows XP oder Vista

    Symptom: Das Verarbeiten eines in böswilliger Absicht erstellten PNG-Bildes kann zu einem unerwarteten Programmabbruch oder zu willkürlicher Codeausführung führen.

    Beschreibung: Die Verarbeitung von PNG-Dateien kann zu nicht initialisierten Zeigern führen. Das Verarbeiten eines in böswilliger Absicht erstellten PNG-Bildes kann zu einem unerwarteten Programmabbruch oder zu willkürlicher Codeausführung führen. Mit dieser Aktualisierung wird das Problem durch Ausführen einer zusätzlichen Validierung von PNG-Bildern behoben. Dank an Tavis Ormandy vom Google Security Team, der dieses Problem gemeldet hat.

  • Internationale Komponenten für Unicode

    CVE-ID: CVE-2009-0153

    Verfügbar für: Windows XP oder Vista

    Symptom: In böswilliger Absicht erstellte Inhalte können Website-Filter umgehen und zu Website-übergreifendem Skripting führen.

    Beschreibung: Bei der Verarbeitung bestimmter Zeichenkodierungen in ICU tritt ein Implementierungsproblem auf. Die Konvertierung ungültiger Byte-Sequenzen in Unicode mithilfe von ICU kann zu einem übermäßigen Verbrauch führen, bei dem nachfolgende Bytes als Teil des Originalzeichens behandelt werden. Dies kann ein Angreifer zu seinem Vorteil nutzen, um Filter auf Websites zu umgehen, über die Website-übergreifendes Skripting minimiert werden soll. Mit diesem Update wird das Problem durch eine verbesserte Verarbeitung ungültiger Byte-Sequenzen behoben. Systeme mit Mac OS X 10.5: In Mac OS X 10.5.7 tritt das Problem nicht mehr auf. Wir danken Chris Weber von Casaba Security für die Meldung des Problems.

  • libxml

    CVE-ID: CVE-2008-3281, CVE-2008-3529, CVE-2008-4409, CVE-2008-4225, CVE-2008-4226

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP oder Vista

    Symptom: Mehrere Schwachstellen in libxml2 Version 2.6.16

    Beschreibung: In libxml 2 2.6.16 sind mehrere Schwachstellen vorhanden, die schlimmstenfalls zu einer unerwarteten Programmbeendigung oder zu willkürlicher Codeausführung führen können. Unter Windows können diese Probleme durch die Aktualisierung auf libxml2 Version 2.7.3 behoben werden, für Mac OS X 10.4.11 und Mac OS X 10.5.7 stehen entsprechende Patches bereit.

  • Safari

    CVE-ID: CVE-2009-1682

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP oder Vista

    Symptom: Beim Besuch einer Website mit widerrufenem EV-Zertifikat wird möglicherweise keine Zertifikatswarnung angezeigt.

    Beschreibung: Ein Problem bei der Verarbeitung von EV(Extended Validation)-Zertifikaten in Safari kann dazu führen, dass die Widerrufsüberprüfung umgangen wird. Infolgedessen könnte das System eine Seite laden, ohne eine Warnung vor dem widerrufenen EV-Zertifikat auszugeben. Mit dieser Aktualisierung wird das Problem durch eine verbesserte Widerrufsprüfung von EV-Zertifikaten behoben. Wir danken Bruce Morton für die Meldung des Problems.

  • Safari

    CVE-ID: CVE-2009-1706

    Verfügbar für: Windows XP oder Vista

    Symptom: Während einer privaten Surfsitzung angelegte Cookies sind möglicherweise nach der Sitzung weiterhin vorhanden.

    Beschreibung: Die Safari Funktion "Privates Surfen" wurde entwickelt, damit Benutzer im Internet surfen können, ohne auf der Festplatte Spuren zu hinterlassen. Aufgrund eines Implementierungsfehlers im Zusammenhang mit der Funktion "Privates Surfen" kann es vorkommen, dass nach dem privaten Surfen Cookies auf der Festplatte verbleiben. Die kann die ungewünschte Preisgabe vertraulicher Informationen zur Folge haben. Diese Aktualisierung behebt das Problem, indem sie die Cookies bei Deaktivierung der Funktion "Privates Surfen" bzw. beim Schließen von Safari aus dem Cookie-Alternativspeicher entfernt. Dieses Problem betrifft keine Mac OS X Systeme. Wir danken Michael Hay von Beatnik Monkey Software für die Meldung des Systems.

  • Safari

    CVE-ID: CVE-2009-1707

    Verfügbar für: Windows XP oder Vista

    Symptom: Bei Verwendung der Option "Safari zurücksetzen" werden Website-Kennwörter möglicherweise nicht sofort gelöscht.

    Beschreibung: Nachdem Sie im Menü "Safari zurücksetzen" unter "Gesicherte Namen und Kennwörter" auf die Taste "Zurücksetzen" geklickt haben, benötigt Safari zum Löschen der Kennwörter bis zu 30 Sekunden. Ein Benutzer mit Zugang zum System könnte in dieser Zeit auf die noch gespeicherten Anmeldedaten zugreifen. Das Problem wird durch Beseitigung der Wettlaufsituation behoben, die der Verzögerung zugrunde liegt Dieses Problem betrifft keine Mac OS X Systeme. Wir danken Philippe Couturier von izypage.com und Andrew Wellington von der Australian National University für die Meldung des Problems.

  • Safari

    CVE-ID: CVE-2009-1708

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP oder Vista

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zur Preisgabe der Inhalte lokaler Dateien oder zu willkürlicher Codeausführung führen.

    Beschreibung: Aufgrund eines Problems mit Safaris URL-Handler zum Öffnen der Hilfe können in böswilliger Absicht erstellte Websites möglicherweise auf lokale Hilfedateien zugreifen. Dies kann zur Preisgabe der Inhalte lokaler Dateien oder zu willkürlicher Codeausführung führen. Dieses Update behebt das Problem, indem es Remote-Sites daran hindert, den URL-Handler zum Öffnen der Hilfe aufzurufen. Wir danken Billy Rios und Microsoft Vulnerability Research für die Meldung des Problems.

  • Safari Windows Installationsprogramm

    Verfügbar für: Windows XP oder Vista

    Symptom: Safari kann mit erhöhten Zugriffsrechten ausgeführt werden.

    Beschreibung: Das Safari Installationsprogramm beinhaltet ein Markierungsfeld zum sofortigen Starten von Safari nach Abschluss des Installationsvorgangs. Wenn dieses Markierungsfeld aktiviert ist, wird Safari aufgrund der Komprimierungsmethode des Installationsprogramm beim Erststart mit erhöhten Zugriffsrechten ausgeführt. Zur Behebung des Problems wird im Installationsprogramm eine andere Komprimierungsmethode verwendet. Dieses Problem betrifft keine Mac OS X Systeme. Wir danken Dave English von Lutnos für die Meldung des Problems.

  • WebKit

    CVE-ID: CVE-2006-2783

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP oder Vista

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zu Cross-Site-Scripting-Angriffen führen.

    Beschreibung: Beim Analysieren von Webseiten ignoriert WebKit Unicode-Bytereihenfolgen-Markierungssequenzen. Bestimmte Websites und Webinhaltsfilter versuchen, Eingaben sicher zu machen, indem bestimmte HTML-Tags blockiert werden. Dieser Filteransatz kann umgangen werden und zu Cross-Site-Scripting-Angriffen führen, wenn es sich dabei um in böswilliger Absicht erstellte HTML-Tags mit Bytereihenfolgen-Markierungssequenzen handelt. Diese Aktualisierung behebt das Problem durch eine verbesserte Handhabung von Bytereihenfolgen-Markierungssequenzen. Wir danken Chris Weber von Casaba Security, LLC für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2008-1588

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP oder Vista

    Symptom: Ideografische Unicode-Leerzeichen werden unter Umständen verwendet, um die Zuverlässigkeit sicherer Websites zu beeinträchtigen

    Beschreibung: Beim Anzeigen der aktuellen URL in der Safari Adressleiste werden ideografische Unicode-Leerzeichen gerendert. Dadurch können in böswilliger Absicht erstellte Websites den Benutzer auf Spoof-Websites umleiten, deren Gestaltung der von legitimen Domänen ähnelt. Diese Aktualisierung behebt das·Problem, indem keine ideografischen Unicode-Leerzeichen in der Adressleiste gerendert werden.

  • WebKit

    CVE-ID: CVE-2008-2320

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP oder Vista

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Code-Ausführung führen.

    Beschreibung: Bei der Verarbeitung ungültiger CSS-Farbzeichenketten in WebKit tritt ein Speicherfehler auf. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zu willkürlicher Codeausführung führen. Das vorliegende Update löst dieses Problem durch eine verbesserte Farbzeichenketten-Verarbeitung. Wir danken Thomas Raffetseder vom International Secure Systems Lab für die Meldung des Problems.

  • WebKit

    CVE-ID: CVE-2008-3632

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP oder Vista

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Code-Ausführung führen.

    Beschreibung: Bei der Verarbeitung von "@import"-Ausdrücken in Cascading Style Sheets durch WebKit kann es zu einem Use-After-Free-Problem kommen. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zu willkürlicher Codeausführung führen. Das vorliegende Update löst dieses Problem durch eine verbesserte Verarbeitung von Style Sheets. Wir danken Dean McNamee von Google Inc. für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2008-4231

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP oder Vista

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Code-Ausführung führen.

    Beschreibung: Bei der Verarbeitung von HTML-Tabellen durch WebKit kommt es zu einem Problem mit nicht initialisiertem Speicherzugriff. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zu willkürlicher Codeausführung führen. Das vorliegende Update löst dieses Problem durch die ordnungsgemäße Initialisierung der internen Darstellung von HTML-Tabellen. Wir danken Haifei Li vom Fortinet's FortiGuard Global Security Research Team für die Meldung des Problems.

  • WebKit

    CVE-ID: CVE-2009-1681

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP oder Vista

    Symptom: Die Interaktion mit einer in böswilliger Absicht erstellten Website kann unerwartete Aktionen auf anderen Websites hervorrufen.

    Beschreibung: Im Same-Origin-Policy-Mechanismus zur Einschränkung von Interaktionen zwischen mehreren Websites liegt ein Fehler vor. Die Same Origin Policy gewährleistet, dass Websites die Websites von Drittanbietern in einem Subframe laden dürfen. Mit einem solchen Frame kann der Benutzer dazu verführt werden, auf ein bestimmtes Objekt im Frame zu klicken - eine Methode, die gemeinhin auch als "Clickjacking" bezeichnet wird. Auf in böswilliger Absicht erstellten Websites kann der Benutzer auf diese Weise zu unbeabsichtigten Handlungen, z. B. zum Abschließen eines Kaufs, verleitet werden. Diese Aktualisierung behebt das Problem durch die Verwendung des branchenweit üblichen Extension Headers "X-Frame-Options", mit dem einzelne Webseiten gegen das Anzeigen in Subframes gesperrt werden können.

  • WebKit

    CVE-ID: CVE-2009-1684

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP oder Vista

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zu Cross-Site-Scripting führen.

    Beschreibung: Bei der Aufbereitung von JavaScript-Kontexten tritt ein Cross-Site-Scripting-Problem auf. In böswilliger Absicht erstellte Websites können mithilfe eines Eventhandlers im Sicherheitskontext der nächsten im gleichen Fenster oder Frame geladenen Website ein Skript ausführen. Diese Aktualisierung behebt das Problem, indem sie Eventhandler daran hindert, laufende Seitenübertragungen direkt zu beeinflussen. Wir danken Michal Zalewski von Google Inc. für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2009-1685

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP oder Vista

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zu Cross-Site-Scripting führen.

    Beschreibung: Bei der Aufbereitung von JavaScript-Kontexten tritt ein Cross-Site-Scripting-Problem auf. Indem er einen Benutzer zum Besuchen einer in böswilliger Absicht erstellten Website verleitet, kann ein Angreifer das Objekt "document.implementation" eines eingebetteten/übergeordneten Dokuments aus einem anderen Sicherheitsbereich überschreiben. Diese Aktualisierung behebt das Problem, indem sie verhindert, dass Änderungen an "document.implementation" auch auf andere Dokumente angewendet werden. Wir danken Dean McNamee von Google Inc. für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2009-1686

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP oder Vista

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von JavaScript-Ausnahmen in WebKit tritt ein Konvertierungsfehler auf. Bei dem Versuch, die Ausnahme einer als Konstante festgelegten Variablen zuzuweisen, wird ein Objekt in einen ungültigen Typ umgewandelt und ein Speicherfehler verursacht. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zu willkürlicher Codeausführung führen. Diese Aktualisierung behebt das Problem, indem sie die Zuweisung innerhalb der const-Deklaration in das Variablenobjekt schreibt. Wir danken Jesse Ruderman von der Mozilla Corporation für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2009-1687

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP oder Vista

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Code-Ausführung führen.

    Beschreibung: Im JavaScript Garbage Collector von WebKit tritt ein Speicherfehler auf. Wenn eine Zuteilung fehlschlägt, kann ein Speicherschreibvorgang einen Offset eines NULL-Zeigers verursachen und eine unerwartete Programmbeendigung oder eine willkürliche Codeausführung zur Folge haben. Mit dieser Aktualisierung wird das Problem durch die Suche nach Zuteilungsfehlern behoben. Wir danken SkyLined von Google Inc. für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2009-1688

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP oder Vista

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zu Cross-Site-Scripting führen.

    Beschreibung: WebKit verwendet zur Bestimmung des mit einem angegebenen Skript verknüpften Sicherheitskontextes nicht die HTML 5-Standardmethode. Ein Problem bei der Implementierung der Methode in WebKit kann unter bestimmten Umständen einen Cross-Site-Scripting-Angriff zur Folge haben. Mit dieser Aktualisierung wird das Problem durch den Einsatz der Standardmethode zur Bestimmung des mit einem Skript verknüpften Sicherheitskontextes behoben. Wir danken Adam Barth von der UC Berkeley und Collin Jackson von der Stanford University für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2009-1689

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP oder Vista

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zu Cross-Site-Scripting-Angriffen führen.

    Beschreibung: Im WebKit besteht ein Cross-Site-Scripting-Problem. Eine in böswilliger Absicht erstellte Website mit einem Formular, das an "about:blank" gesendet wird, kann unter Umständen zeitgleich den Sicherheitskontext des Dokuments ersetzen und dazu führen, dass aktuell laufende Skripts im neuen Sicherheitskontext ausgeführt werden. Mit dieser Aktualisierung wird das Problem durch eine verbesserte Verarbeitung von siteübergreifenden Interaktionen beim Formularversand behoben. Wir danken Adam Barth von der UC Berkeley und Collin Jackson von der Stanford University für die Meldung dieses Problems.

  • Webkit

    CVE-ID: CVE-2009-1690

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP oder Vista

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Codeausführung führen.

    Beschreibung: Bei der Verarbeitung von Rekursionen tritt in bestimmten DOM-Eventhandlern ein Speicherfehler auf. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zu willkürlicher Codeausführung führen. Mit dieser Aktualisierung wird das Problem behoben, indem eine verbesserte Speicherverwaltung erfolgt. Wir danken SkyLined von Google Inc. und wushi & ling von team509, die mit Verisign iDefense VCP zusammenarbeiten, für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2009-1691

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP oder Vista

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zu Cross-Site-Scripting-Angriffen führen

    Beschreibung: Ein Cross-Site-Scripting-Problem in Safari ermöglicht es einer in böswilliger Absicht erstellten Website, standardmäßige JavaScript-Prototypen von Websites, die von einer anderen Domain bereitgestellt werden, zu verändern. Wird ein Benutzer dazu verleitet, eine in böswilliger Absicht erstellte Webseite zu besuchen, kann ein Angreifer unter Umständen die Ausführung der von anderen Websites bereitgestellten JavaScript-Prototypen ändern. Mit dieser Aktualisierung wird das Problem durch verbesserte Zugriffskontrollen bei diesen Prototypen behoben.

  • WebKit

    CVE-ID: CVE-2009-1693

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP oder Vista

    Symptom: Beim Besuchen einer in böswilliger Absicht erstellten Website können Bilder von anderen Websites angezeigt werden.

    Beschreibung: In WebKit tritt ein Cross-Site-Bilderfassungsproblem auf. Durch die Verwendung eines Arbeitsbereichs mit einem SVG-Bild kann eine in böswilliger Absicht erstellte Website möglicherweise Bilder von einer anderen Website laden und erfassen. Mit dieser Aktualisierung wird das Problem behoben, indem das Lesen von Arbeitsbereichen, die Bilder von anderen Websites enthalten, eingeschränkt wird. Wir danken Chris Evans von Google Inc. für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2009-1694

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP oder Vista

    Symptom: Beim Besuchen einer in böswilliger Absicht erstellten Website können Bilder von anderen Websites angezeigt werden.

    Beschreibung: In WebKit tritt ein Cross-Site-Bilderfassungsproblem auf. Durch die Verwendung eines Arbeitsbereichs kann eine in böswilliger Absicht erstellte Website möglicherweise Bilder von einer anderen Website laden und erfassen. Mit der vorliegenden Aktualisierung wird dieses Problem durch eine verbesserte Verarbeitung von Umleitungen behoben. Wir danken Chris Evans von Google Inc. für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2009-1695

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP oder Vista

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zu Cross-Site-Scripting-Angriffen führen.

    Beschreibung: Ein Problem im WebKit kann dazu führen, dass ein HTML-Dokument nach einem Seitenübergang auf die Inhalte eines Bildbereichs zugreifen kann. Dies kann unter Umständen einen Cross-Site-Scripting-Angriff durch eine in böswilliger Absicht erstellten Website zur Folge haben. Mit dieser Aktualisierung wird das Problem durch eine verbesserte Domain-Überprüfung behoben. Wir danken Feng Qian von Google Inc. für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2009-1696

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP oder Vista

    Symptom: Websites können heimlich Benutzer verfolgen.

    Beschreibung: Safari generiert für JavaScript-Anwendungen mithilfe eines berechenbaren Algorithmus verschiedene Zufallszahlen. Eine Website könnte dies ausnutzen, um eine bestimmte Safari-Session ohne Einsatz von Cookies, verborgenen Formularelementen, IP-Adressen oder anderen Methoden nachzuverfolgen. Mit dieser Aktualisierung wird das Problem durch eine Verbesserung des Zufallszahlengenerators behoben. Wir danken Amit Klein von Trusteer für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2009-1697

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP oder Vista

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zu Cross-Site-Scripting-Angriffen führen.

    Beschreibung: Bei der Verarbeitung von XMLHttpRequest-Headers in WebKit kommt es zu einem CRLF-Injection-Problem. In böswilliger Absicht erstellte Websites erhalten dadurch die Möglichkeit, die Same-Origin-Policy durch Ausgabe eines XMLHttpRequest ohne Host-Header zu umgehen. XMLHttpRequests ohne Host-Header können unter Umständen andere Websites auf demselben Server erreichen und vom Angreifer bereitgestelltem JavaScript-Code die Interaktion mit diesen Websites ermöglichen. Mit dieser Aktualisierung wird das Problem durch eine verbesserte Verarbeitung von XMLHttpRequest-Headers behoben. Wir danken Per von Zweigbergk für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2009-1698

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP oder Vista

    Symptom: Das Anzeigen einer in böswilliger Absicht erstellten Webseite·kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Ausführung von Code führen.

    Beschreibung: Die Verarbeitung der CSS-Funktion 'attr' kann zu einem nicht initialisierten Zeiger führen. Das Anzeigen einer in böswilliger Absicht erstellten Webseite·kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Ausführung von Code führen. Mit dieser Aktualisierung wird das Problem durch Ausführen einer zusätzlichen Validierung von CSS-Elementen behoben. Wir danken Thierry Zoller, der mit der Tippingpoint Zero Day Initiative zusammenarbeitet, sowie Robert Swiecki vom Google-Sicherheitsteam für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2009-1699

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP oder Vista

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zur Preisgabe vertraulicher Informationen führen.

    Beschreibung: Bei der Verarbeitung von XML-Daten kann es zu einem Problem mit externen XML-Entitäten kommen. Eine in böswilliger Absicht erstellte Website kann unter Umständen Dateien aus dem System des Benutzers lesen. Mit dieser Aktualisierung wird das Problem dadurch behoben, dass keine externen Entitäten aus den Ursprüngen geladen werden. Wir danken Chris Evans von Google Inc. für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2009-1700

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP oder Vista

    Symptom: Das Aufrufen einer in böswilliger Absicht erstellten Website kann zur Preisgabe vertraulicher Informationen führen.

    Beschreibung: WebKit ist bei der Verarbeitung von Extensible Stylesheet Language Transformations (XSLT) nicht in der Lage, Umleitungen korrekt zu verarbeiten. In böswilliger Absicht erstellte Website erhalten dadurch die Möglichkeit, XML-Inhalte aus Seiten anderer Websites abzurufen, sodass unter Umständen vertrauliche Informationen preisgegeben werden. Mit dieser Aktualisierung wird das Problem dadurch behoben, dass Dokumente, auf die in Übergängen verwiesen wird, grundsätzlich von derselben Domain wie der Übergang selbst heruntergeladen werden. Wir danken Chris Evans von Google für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2009-1701

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP oder Vista

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Code-Ausführung führen.

    Beschreibung: Bei der Verarbeitung des JavaScript-DOM in WebKit kommt es zu einem Use-After-Free-Problem. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zu willkürlicher Codeausführung führen. Mit dieser Aktualisierung wird das Problem durch die verbesserte Verarbeitung der Dokumentelemente behoben. Wir danken wushi & ling von team509, die mit der Tippingpoint Zero Day Initiative zusammenarbeiten, für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2009-1702

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP oder Vista

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zu Cross-Site-Scripting-Angriffen führen.

    Beschreibung: Ein Problem bei der Verarbeitung von Positions- und Verlaufsobjekten in WebKit kann beim Besuch einer in böswilliger Absicht erstellten Website einen Cross-Site-Scripting-Angriff zur Folge haben. Mit dieser Aktualisierung wird das Problem durch die verbesserte Verarbeitung von Positions- und Verlaufsobjekten behoben. Wir danken Adam Barth und Joel Weinberger von der UC Berkeley für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2009-1703

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP oder Vista

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zur ungewollten Preisgabe von Informationen führen.

    Beschreibung: Die Verarbeitung von HTML-Audio- und Videoelementen ermöglicht einer Remote-Website den Verweis auf lokale URLs vom Typ "file:". Eine in böswilliger Absicht erstellte Website könnte gezielt nach einer Datei suchen, wodurch Informationen ungewollt preisgegeben werden. Mit dieser Aktualisierung wird das Problem durch die verbesserte Verarbeitung von Audio- und Videoelementen behoben. Dank an Dino Dai Zovi, der dieses Problem gemeldet hat.

  • WebKit

    CVE-ID: CVE-2009-1709

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP oder Vista

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Code-Ausführung führen.

    Beschreibung: Bei der Verarbeitung von SVG-Animationselementen in WebKit kommt es zu einem Use-After-Free-Problem. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zu willkürlicher Codeausführung führen. Mit dieser Aktualisierung wird das Problem durch eine verbesserte Verarbeitung von Caches behoben. Wir danken dem anonymen Mitarbeiter der TippingPoint Zero Day Initiative für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2009-1710

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP oder Vista

    Symptom: Eine in böswilliger Absicht erstellte Website kann unter Umständen UI-Browserelemente vortäuschen.

    Beschreibung: Durch Festlegen eines großen und mehrheitlich transparenten, benutzerdefinierten Cursors sowie durch Anpassung der Hotspot-Eigenschaft CSS3 könnte eine in böswilliger Absicht erstellte Website UI-Browserelemente, wie z.B. den Hostnamen und Sicherheitsindikatoren, vortäuschen. Mit dieser Aktualisierung wird das Problem durch die zusätzliche Einschränkung benutzerdefinierter Cursors behoben. Wir danken Dean McNamee von Google für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2009-1711

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP oder Vista

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur willkürlichen Code-Ausführung führen.

    Beschreibung: Bei der Verarbeitung des DOM-Objekts 'Attr' besteht ein Problem mit nicht initialisiertem Speicherzugriff. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zu willkürlicher Codeausführung führen. Mit dieser Aktualisierung wird das Problem durch eine verbesserte Überprüfung von DOM-Objekten behoben. Wir danken Feng Qian von Google Inc. für die Meldung dieses Problems.

  • Webkit

    CVE-ID: CVE-2009-1712

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP oder Vista

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann eine ungewollte Preisgabe von Informationen oder eine willkürliche Codeausführung zur Folge haben.

    Beschreibung: WebKit ermöglicht es Remote-Websites, JavaA-Applets vom lokalen System zu laden. Lokale Applets sind für das Remote-Laden unter Umständen nicht eingerichtet und bieten der Remote-Site die Möglichkeit zur willkürlichen Codeausführung oder andere unvorhergesehene Zugriffsrechte. Mit dieser Aktualisierung wird das Problem dadurch behoben, dass das Laden lokaler Applets durch Remote-Websites nicht mehr zulässig ist.

  • WebKit

    CVE-ID: CVE-2009-1713

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP oder Vista

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zur Preisgabe vertraulicher Informationen führen.

    Beschreibung: Bei der Implementierung der in XSLT-Dokumenten verwendeten Funktion document() gibt es ein Problem mit der ungewollten Preisgabe von Informationen. Eine in böswilliger Absicht erstellte Website kann unter Umständen Dateien aus anderen Sicherheitsbereichen, einschließlich des Benutzersystems, lesen. Mit dieser Aktualisierung wird das Problem dadurch behoben, dass keine Ressourcen aus den Ursprüngen geladen werden. Wir danken Chris Evans von Google für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2009-1714

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP oder Vista

    Symptom: Die Verwendung der Webinformationen auf einer in böswilliger Absicht erstellten Website kann zu Cross-Site-Scripting führen.

    Beschreibung: Ein Problem in den Webinformationen führt dazu, dass eine überprüfte Seite ein eingeschleustes Skript mit erhöhten Zugriffsrechten ausführt, einschließlich des Rechts zum Lesen des benutzereigenen Dateisystems. Mit dieser Aktualisierung wird das Problem durch entsprechendes Maskieren von HTML-Attributen behoben. Wir danken Pengsu Cheng von der Wuhan University für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2009-1715

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP oder Vista

    Symptom: Die Verwendung der Webinformationen auf einer in böswilliger Absicht erstellten Website kann zu Cross-Site-Scripting führen.

    Beschreibung: Ein Problem in den Webinformationen führt dazu, dass eine überprüfte Seite ein eingeschleustes Skript mit erhöhten Zugriffsrechten ausführt, einschließlich des Rechts zum Lesen des benutzereigenen Dateisystems. Mit dieser Aktualisierung wird das Problem durch die Ausführung von Skripts mit den Zugriffsrechten der zu prüfenden Website behoben. Wir danken Collin Jackson von der Stanford University und Adam Barth von UC Berkeley für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2009-1718

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP oder Vista

    Symptom: Das Ziehen von Inhalten über eine in böswilliger Absicht erstellte Website kann zur ungewollten Preisgabe von Informationen führen.

    Beschreibung: Bei der Verarbeitung von Drag-Ereignissen in WebKit tritt ein Problem auf. Dies kann eine ungewollte Preisgabe vertraulicher Informationen zur Folge haben, wenn der Inhalt über eine in böswilliger Absicht erstellte Webseite gezogen wird. Mit dieser Aktualisierung wird das Problem durch eine verbesserte Verarbeitung von Drag-Ereignissen behoben. Wir danken Eric Seidel von Google Inc. für die Meldung dieses Problems.

Wichtig: Informationen zu Produkten, die nicht von Apple hergestellt wurden, werden zu Informationszwecken zur Verfügung gestellt und stellen keine Empfehlung oder Billigung seitens Apple dar. Für weitere Informationen wenden Sie sich bitte an den Hersteller.

Zuletzt geändert: 15.05.2012
Hilfreich?
Ja
Nein
  • Last Modified: 15.05.2012
  • Article: HT3613
  • Views:

    null

Zusätzliche Supportinformationen zum Produkt