Om sikkerhetsinnholdet i Safari 4.0.3

Dette dokumentet beskriver sikkerhetsinnholdet i Safari 4.0.3.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple-produktsikkerhet på nettstedet for Apple-produktsikkerhet.

Hvis du vil ha mer informasjon om PGP-nøkkelen for Apple-produktsikkerhet, kan du lese «Slik bruker du PGP-nøkkelen for Apple-produktsikkerhet

Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.

Mer informasjon om andre sikkerhetsoppdateringer finnes her: Apple sikkerhetsoppdateringer.

Safari 4.0.3

  • CoreGraphics

    CVE-ID: CVE-2009-2468

    Tilgjengelig for: Windows XP og Vista

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode

    Beskrivelse: Det er en overflyt av minnebufferen i tegningen av lange tekststrenger. Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode. Denne oppdateringen løser problemet gjennom forbedret grensekontroll. Takk til Will Drewry hos Google Inc., som rapporterte dette problemet.

  • ImageIO

    CVE-ID: CVE-2009-2188

    Tilgjengelig for: Windows XP og Vista

    Virkning: Visning av et skadelig bilde kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det foreligger bufferoverflyt i håndteringen av EXIF-metadata. Visning av et skadelig bilde kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Denne oppdateringen løser problemet gjennom forbedret grensekontroll.

  • Safari

    CVE-ID: CVE-2009-2196

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows XP og Vista

    Virkning: Et skadelig nettsted kan bli forfremmet til Safaris Toppsider-visning

    Beskrivelse: Safari 4 introduserte Toppsider-funksjonen for å gi en rask oversikt over favorittnettstedene til en bruker. Det er mulig at et skadelig nettsted forfremmer vilkårlige nettsteder til Toppsider-visningen gjennom automatiserte handlinger. Dette kan brukes til å legge til rette for et phishingangrep. Dette problemet løses ved å hindre automatiserte nettstedbesøk fra å påvirke Toppsider-listen. Kun nettsteder som brukeren besøker manuelt, kan bli inkludert i Toppsider-listen. Safari aktiverer registrering av forfalskede nettsteder som standard. Siden introduksjonen av Toppsider-funksjonen vises ikke forfalskede nettsteder i Toppsider-visningen. Takk til Inferno hos SecureThoughts.com, som rapporterte dette problemet.

  • WebKit

    CVE-ID: CVE-2009-2195

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows XP og Vista

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode

    Beskrivelse: Det er en bufferoverflyt i WebKits analysering av flyttall. Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode. Denne oppdateringen løser problemet gjennom forbedret grensekontroll. Kreditert: Apple.

  • WebKit

    CVE-ID: CVE-2009-2200

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows XP og Vista

    Virkning: Besøk på et skadelig nettsted og å klikke på «Kjør» ved visning av dialogen for et skadelig programtillegg kan føre til avsløring av sensitiv informasjon

    Beskrivelse: WebKit tillater at pluginspage-attributtet til «integrer»-elementet viser til nettadresser for filer. Det å klikke på «Kjør» i dialogen som vises når det vises til en ukjent type programtillegg, omdirigerer til nettadressen som er oppført i pluginspage-attributtet. Dette kan tillate at en ekstern angriper kan kjøre nettadresser for filer i Safari og føre til avsløring av sensitiv informasjon. Denne oppdateringen løser problemet ved å begrense pluginspage-nettadressen til http eller https. Takk til Alexios Fakos hos n.runs AG, som rapporterte dette problemet.

  • WebKit

    CVE-ID: CVE-2009-2199

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows XP og Vista

    Virkning: Tegn som ser like ut i en nettadresse, kan brukes til å maskere et nettsted

    Beskrivelse: IDN-støtte (International Domain Name) og Unicode-fonter som er integrert i Safari, kan brukes til å opprette en nettadresse med tegn som ser like ut. Disse kan brukes på et skadelig nettsted for å sende brukeren til et forfalsket nettsted som visuelt ser ut til å være et legitimt domene. Denne oppdateringen løser problemet ved å supplere WebKits liste over kjente tegn som ser like ut. Tegn som ser like ut, gjengis i Punycode på adresselinjen. Takk til Chris Weber fra Casaba Security, LLC, som rapporterte dette problemet.

Viktig: Informasjon om produkter som ikke er produsert av Apple, oppgis kun for informasjonsformål og utgjør ikke noen godkjenning eller anbefaling fra Apple. Du kan kontakte leverandøren for å få mer informasjon.

Publiseringsdato: