Over de beveiligingsinhoud van Safari 4.0.3

In dit document wordt de beveiligingsinhoud van Safari 4.0.3. beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.

Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Zie Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

Safari 4.0.3

• CoreGraphics

  CVE-ID: CVE-2009-2468

  Beschikbaar voor: Windows XP and Vista

  Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

  Beschrijving: er bestaat een heapbufferoverloop bij het tekenen van tekenreeksen met lange teksten. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door verbeterde bereikcontrole. Met dank aan Will Drewry van Google Inc. voor het melden van dit probleem.

• ImageIO

  CVE-ID: CVE-2009-2188

  Beschikbaar voor: Windows XP en Vista

  Impact: het bekijken van een kwaadwillig vervaardigde afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

  Beschrijving: er bestaat een bufferoverloop in de verwerking van EXIF-metagegevens. Het bekijken van een kwaadwillig vervaardigde afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door verbeterde bereikcontrole.

• Safari

  CVE-ID: CVE-2009-2196

  Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Mac OS X Server v10.5.8, Mac OS X Server v10.5.8, Windows XP en Vista

  Impact: een kwaadwillig vervaardigde website kan worden gepromoot in Safari's Top Sites-weergave

  Beschrijving: Safari 4 introduceerde de Top Sites-functie om een overzicht te bieden van de favoriete websites van een gebruiker. Het is mogelijk voor een kwaadaardige website om door middel van geautomatiseerde acties willekeurige sites in de Top Sites-weergave te promoten. Op deze wijze kan een phishing-aanval worden vergemakkelijkt. Dit probleem wordt aangepakt door te voorkomen dat geautomatiseerde websitebezoeken van invloed zijn op de Top Sites-weergave. Alleen websites die de gebruiker handmatig bezoekt, kunnen in de lijst met topsites worden opgenomen. Als opmerking: Safari maakt standaard frauduleuze sitedetectie mogelijk. Frauduleuze sites verschijnen sinds de introductie van de Top Sites-functie niet in de Top Sites-weergave. Dank aan Inferno van SecureThoughts.com voor het melden van dit probleem.

• WebKit

  CVE-ID: CVE-2009-2195

  Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows XP en Vista

  Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

  Beschrijving: er bestaat een bufferoverloop bij het parseren van zwevendekommagetallen door WebKit. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door verbeterde bereikcontrole. Met dank aan Apple.

• WebKit

  CVE-ID: CVE-2009-2200

  Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.4.11, Mac OS X Server v10.5.7, Mac OS X Server v10.5.7, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows XP en Vista

  Impact: Het bezoeken van een kwaadwillig vervaardigde website en op 'Go' klikken bij het bekijken van een kwaadaardig plug-in-dialoogvenster kan leiden tot de openbaarmaking van gevoelige informatie

  Beschrijving: WebKit staat het pluginspage-attribuut van het 'embed'-element toe om bestands-URL's te verwijzen. Als u op 'Go' klikt in het dialoogvenster dat verschijnt wanneer naar een onbekend type plug-in wordt verwezen, wordt u doorgestuurd naar de URL die wordt vermeld in het kenmerk pluginspage. Hierdoor kan een aanvaller van buitenaf bestands-URL's in Safari starten, waardoor gevoelige informatie openbaar maken. Deze update lost het probleem op door het pluginpage URL-schema te beperken tot http of https. Dank aan Alexios Fakos van n.runs AG voor het melden van dit probleem.

• WebKit

  CVE-ID: CVE-2009-2199

  Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Mac OS X Server v10.5.7, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows XP en Vista

  Impact: Look-alike tekens in een URL kunnen worden gebruikt om een website te maskeren{

  Beschrijving: de IDN-ondersteunings- (International Domain Name) en Unicode-lettertypen die zijn ingebed in Safari kunnen worden gebruikt om een URL aan te maken die look-alike tekens bevat. Deze tekens kunnen op een kwaadwillende website worden gebruikt om de gebruiker naar een vervalste site te leiden die visueel een legitiem domein lijkt te zijn. Deze update lost het probleem op door door de lijst met bekende look-alike tekens van WebKit aan te vullen. Look-alike tekens worden in Punycode weergegeven in de adresbalk. Met dank aan Chris Weber van Casaba Security, LLC voor het melden van dit probleem.