Sprachen

Informationen über den Sicherheitsinhalt von Safari 4.0.4

In diesem Dokument wird der Sicherheitsinhalt von Apple Safari 4.0.4 beschrieben.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Programmkorrekturen oder Versionen verfügbar sind. Nähere Informationen zur Apple Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple-Produktsicherheits-PGP-Schlüssel finden Sie hier: "So verwenden Sie den Apple-Produktsicherheits-PGP-Schlüssel".

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsaktualisierungen finden Sie unter "Apple Security Updates".

Safari 4.0.4

  • ColorSync

    CVE-ID: CVE-2009-2804

    Verfügbar für: Windows 7, Vista, XP

    Symptom: Das Anzeigen von nicht vertrauenswürdigen Bildern mit eingebettetem Farbprofil kann eine unerwartete Programmbeendigung oder eine willkürliche Codeausführung verursachen.

    Beschreibung: Bei der Verarbeitung von Bildern mit einem eingebetteten Farbprofil tritt ein Ganzzahlüberlauf auf, der zu einem Stapelpufferüberlauf führen kann. Das Öffnen von nicht vertrauenswürdigen Bildern mit eingebettetem Farbprofil kann eine unerwartete Programmbeendigung oder eine willkürliche Codeausführung zur Folge haben. Um das Problem zu lösen, ist eine zusätzliche Validierung von Farbprofilen erforderlich. Dieses Problem betrifft keine Systeme mit Mac OS X 10.6. Dieses Problem wurde bereits im Security Update 2009-005 für Systeme mit Mac OS X 10.5.8 gelöst. Dank an Apple.

  • libxml

    CVE-ID: -2009-, CVE-2414, CVE-2009-2416

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Windows 7, Vista, XP

    Symptom: Das Parsen von in böswilliger Absicht erstellten XML-Dateien kann zu einer unerwarteten Programmbeendigung führen.

    Beschreibung: Es gibt mehrere Use-After-Free-Schwachstellen in libxml2, von denen die ernsteste zu einer unerwarteten Programmbeendigung führen kann. Mit diesem Update werden diese Probleme durch eine verbesserte Speicherhandhabung behoben. Diese Probleme wurden bereits in Mac OS X 10.6.2 und im Security Update 2009-006 für Mac OS X 10.5.8-Systeme gelöst.

  • Safari

    CVE-ID: CVE-2009-2842

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 und 10.6.2, Mac OS X Server 10.6.1 und 10.6.2, Windows 7, Vista, XP

    Symptom: Das Verwenden von Kontextmenüoptionen auf einer in bösartiger Absicht erstellten Website kann zur Freigabe lokaler Informationen führen.

    Beschreibung: In Safari gibt es ein Problem bei der Verarbeitung von Navigationen, die über die Kontextmenüoptionen "Bild in neuem Tab öffnen", "Bild in neuem Fenster öffnen" oder "Link in neuem Tab öffnen" initiiert werden. Das Verwenden von Kontextmenüoptionen auf einer in bösartiger Absicht erstellten Website kann zum Laden einer lokalen HTML-Datei und damit zur Freigabe persönlicher Informationen führen. Um das Problem zu beheben, müssen die aufgelisteten Kontextmenüoptionen deaktiviert werden, wenn das Ziel eines Links eine lokale Datei ist.

  • WebKit

    CVE-ID: CVE-2009-2816

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 und 10.6.2, Mac OS X Server 10.6.1 und 10.6.2, Windows 7, Vista, XP

    Symptom: Das Besuchen einer in böswilliger Absicht erstellten Website kann unerwartete Aktionen auf anderen Websites hervorrufen.

    Beschreibung: Bei der Implementierung von Cross-Origin Resource Sharing in WebKit gibt es Probleme. Bevor eine Seite von einem Ursprung auf eine Ressource an einem anderen Ursprung zugreifen darf, sendet WebKit an letzteren Server eine Preflight-Anfrage zum Zugriff auf die Ressource. WebKit fügt der Preflight-Anfrage HTTP-Header hinzu, die an die anfragende Seite angepasst sind. Dies kann den Weg für Cross-Site Request-Fälschungen ebnen. Um dieses Problem zu beheben, werden benutzerdefinierte HTTP-Header aus den Preflight-Anforderungen entfernt. Dank an Apple.

  • WebKit

    CVE-ID: CVE-2009-3384

    Verfügbar für: Windows 7, Vista, XP

    Symptom: Das Anzeigen eines in böser Absicht erstellten FTP-Servers kann zu einer unerwarteten Programmbeendigung, zur Freigabe von Informationen oder zur Ausführung eines willkürlichen Codes führen.

    Beschreibung: WebKit hat mehrere Schwachstellen bei der Verarbeitung von FTP-Verzeichnislisten. Beim Zugriff auf ein in böser Absicht erstelltes Bild kann es zur Freigabe von Informationen, zur unerwarteten Programmbeendigung oder zur Ausführung eines willkürlichen Codes kommen. Dieses Update behebt das Problem durch verbessertes Parsen von FTP-Verzeichnislisten. Safari auf Mac OS X-Systemen ist von diesem Problem nicht betroffen. Wir danken Michal Zalewski von Google Inc. für die Meldung dieser Probleme.

  • WebKit

    CVE-ID: CVE-2009-2841

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 und 10.6.2, Mac OS X Server 10.6.1 und 10.6.2

    Symptom: Mail lädt u. U. Remote-Audio- und Videoinhalte, wenn das Laden von Remote-Bildern deaktiviert ist.

    Beschreibung: Wenn WebKit auf ein HTML 5-Media-Element trifft, das auf eine externe Ressource verweist, wird kein Resource-Load-Callback ausgelöst, um zu ermitteln, ob die Ressource geladen werden soll. Dies führt möglicherweise zu unerwünschten Aufrufen an entfernten Servern. So könnte z. B. der Absender einer HTML-formatierten E-Mail auf diese Weise feststellen, ob die E-Mail gelesen wurde. Um dieses Problem zu beheben, werden Resource-Load-Callbacks erzeugt, wenn WebKit auf ein HTML 5-Media-Element trifft. Safari auf Windows-Systemen ist von diesem Problem nicht betroffen.

Wichtig: Informationen zu Produkten, die nicht von Apple hergestellt wurden, werden zu Informationszwecken zur Verfügung gestellt und stellen keine Empfehlung oder Billigung seitens Apple dar. Für weitere Informationen wenden Sie sich bitte an den Hersteller.

Zuletzt geändert: 18.11.2009
Hilfreich?
Ja
Nein
  • Last Modified: 18.11.2009
  • Article: HT3949
  • Views:

    268

Zusätzliche Supportinformationen zum Produkt