Om sikkerhedsindholdet i Safari 4.0.3

I dette dokument beskrives sikkerhedsindholdet i Safari 4.0.3.

Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.

Hvor det er muligt, bruges der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen "Apple-sikkerhedsopdateringer."

Safari 4.0.3

  • CoreGraphics

    CVE-ID: CVE-2009-2468

    Fås til: Windows XP og Vista

    Effekt: Åbning af et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der er et heap-bufferoverløb i tegningen af lange tekststrenge. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Denne opdatering løser problemet via forbedret kontrol af grænser. Tak til Will Drewry fra Google Inc, som har rapporteret problemet.

  • ImageIO

    CVE-ID: CVE-2009-2188

    Fås til: Windows XP og Vista

    Effekt: Visning af et skadeligt billede kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der findes et bufferoverløb i forbindelse med håndteringen af EXIF-metadata. Visning af et skadeligt billede kan medføre pludselig programlukning eller kørsel af vilkårlig kode. Denne opdatering løser problemet via forbedret kontrol af grænser.

  • Safari

    CVE-ID: CVE-2009-2196

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows XP og Vista

    Effekt: Et skadeligt websted kan promoveres i Safaris Populære websteder-visning

    Beskrivelse: Safari 4 introducerede funktionen Populære websteder med henblik på at levere et hurtigt overblik over en brugers foretrukne websteder. Der er mulighed for, at et skadeligt websted kan promovere vilkårlige websteder i Populære websteder-visningen via automatiserede handlinger. Dette kan bruges til at facilitere et phishing-angreb. Dette problem løses ved at forhindre, at automatiserede webstedsbesøg påvirker listen over Populære websteder. Kun websteder, som brugeren besøger manuelt, kan indgå i listen over Populære websteder. Safari har registrering af bedrageriske websteder aktiveret som standard. Siden introduktionen af funktionen Populære websteder vises bedrageriske websteder ikke i Populære websteder-visningen. Tak til Inferno fra SecureThoughts.com, som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2009-2195

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows XP og Vista

    Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der findes et bufferoverløb i WebKits parsing af flydende decimalpunkter. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Denne opdatering løser problemet via forbedret kontrol af grænser. Tak til: Apple.

  • WebKit

    CVE-ID: CVE-2009-2200

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows XP og Vista

    Effekt: Ved at besøge et skadeligt websted og ved at klikke på "Gå", når du ser en dialogboks for et skadeligt tilbehør, kan medføre afsløring af følsomme oplysninger

    Beskrivelse: WebKit giver mulighed for, at pluginspage-attributten for det "integrerede" element kan referere til arkiv-URL-adresser. Hvis du klikker på "Gå" i dialogboksen, der vises, når der refereres til en ukendt type tilbehør, bliver du omdirigeret til URL-adressen, som er angivet i pluginspage-attributten. Dette kan tillade, at en hacker med fjernadgang kan åbne arkiv-URL-adresser i Safari, hvilket kan medføre afsløring af følsomme oplysninger. Denne opdatering løser problemet ved at begrænse pluginspage-URL-typen til http eller https. Tak til Alexios Fakos fra n.runs AG, som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2009-2199

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows XP og Vista

    Effekt: Tegn i en URL-adresse, der ligner andre tegn, kan bruges til at angive et websted med et lignende navn

    Beskrivelse: Understøttelsen af internationale domænenavne (IDN) Unicode-skrifttyper, der er indlejret i Safari, kan bruges til at oprette en URL-adresse, der indeholder tegn, der ligner andre tegn. Disse kan bruges på et skadeligt websted til at dirigere brugeren til et forfalsket websted, der visuelt ser ud til at være et legitimt domæne. Denne opdatering løser problemet ved at supplere WebKits liste over kendte tegn, der ligner andre tegn. Tegn, der ligner andre tegn, gengives i Punycode på adresselinjen. Tak til Chris Weber fra Casaba Security, LLC, som har rapporteret problemet.

Vigtigt: Oplysninger om produkter, der ikke er fremstillet af Apple, gives kun til orientering og udgør ikke Apples anbefaling eller godkendelse. Kontakt producenten for at få yderligere oplysninger.

Udgivelsesdato: