Om sikkerhedsindholdet i Safari 5.0 og Safari 4.1

I dette dokument beskrives sikkerhedsindholdet i Safari 5.0 og Safari 4.1.

Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i artiklen Sådan bruges PGP-nøglen til Apple Produktsikkerhed.

Hvor det er muligt, bruges der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen "Apple-sikkerhedsopdateringer."

Safari 5.0

  • ColorSync

    CVE-ID: CVE-2009-1726

    Fås til: Windows 7, Vista, XP SP2 eller nyere

    Effekt: Visning af et skadeligt billede med en indlejret ColorSync-profil kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der er et heap-bufferoverløb i forbindelse med behandling af billeder med en ColorSync-profil. Åbning af et skadeligt billede med en integreret ColorSync-profil kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet er løst ved forbedret godkendelse af ColorSync-profiler. Tak til Chris Evans fra Google Security Team og Andrzej Dyjak, som har rapporteret problemet.

  • ImageIO

    CVE-ID: CVE-2010-1411

    Fås til: Windows 7, Vista, XP SP2 eller nyere

    Effekt: Åbning af et skadeligt TIFF-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Flere heltalsoverløb i forbindelse med håndteringen af TIFF-arkiver kan resultere i et heap-bufferoverløb. Åbning af et skadeligt TIFF-arkiv kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode. Problemerne er løst ved forbedret kontrol af grænser. Tak til Kevin Finisterre fra digitalmunition.com, som har rapporteret problemerne.

  • Safari

    CVE-id: CVE-2010-1384

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: En skadelig URL-adresse er muligvis sløret, hvilket gør phishing-angreb mere effektive

    Beskrivelse: Safari understøtter inkludering af brugeroplysninger i URL-adresser, hvilket giver URL-adressen mulighed for at angive et brugernavn og en adgangskode for at godkende brugeren for den navngivne server. Disse URL-adresser bruges ofte til at forvirre brugere og kan potentielt øge risikoen for phishing-angreb. Safari er opdateret til at vise en advarsel, før der navigeres til en HTTP- eller HTTPS-URL-adresse, der indeholder brugeroplysninger. Tak til Abhishek Arya fra Google, Inc., som har rapporteret problemet.

  • Safari

    CVE-id: CVE-2010-1385

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der er et use-after-free-problem i Safaris håndtering af PDF-arkiver. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet er løst via forbedret håndtering af PDF-arkiver. Tak til Borja Marcos fra Sarenet, som har rapporteret problemet.

  • Safari

    CVE-id: CVE-2010-1750

    Fås til: Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der er et use-after-free-problem i Safaris håndtering af vinduer. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet er løst via forbedret håndtering af vinduer. Problemet berører ikke Mac OS X-systemer.

  • WebKit

    CVE-id: CVE-2010-1388

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere

    Effekt: Træk og slip af links eller billeder kan medføre afsløring af oplysninger

    Beskrivelse: Der er et implementeringsproblem i WebKits håndtering af URL-adresser i udklipsholderen. Besøg på et skadeligt websted og træk og slip af links eller billeder kan muligvis sende arkiver fra brugerens system til en ekstern server. Problemet er løst via yderligere validering af URL-adresser i udklipsholderen. Problemet berører ikke Windows-systemer. Tak til Eric Seidel fra Google, Inc., som har rapporteret problemet.

  • WebKit

    CVE-id: CVE-2010-1389

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Træk eller slip af det valgte kan medføre et scripting-angreb på tværs af websteder

    Beskrivelse: Træk eller slip af det valgte fra ét websted til et andet kan medføre, at scripts, der findes i det valgte, køres sammen med det nye websted. Dette problem er løst via yderligere godkendelse af indhold, før en markering indsættes eller trækkes og slippes. Tak til Paul Stone fra Context Information Security, som har rapporteret problemet.

  • WebKit

    CVE-id: CVE-2010-1390

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et websted, der bruger UTF-7-kodning kan medføre et scripting-angreb på tværs af websteder

    Beskrivelse: Der er et kanoniseringsproblem i WebKits håndtering af UTF-7-kodet tekst. En HTML-streng kan muligvis forblive uafsluttet, hvilket kan medføre et scripting-angreb på tværs af websteder og andre problemer. Problemet er løst ved at fjerne understøttelse af UTF-7-kodning i WebKit. Tak til Masahiro Yamada, som har rapporteret problemet.

  • WebKit

    CVE-id: CVE-2010-1391

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et skadeligt websted kan medføre, at der oprettes arkiver på vilkårlige placeringer med skriveadgang

    Beskrivelse: Der er et problem med manipulering af stioplysninger i WebKits understøttelse af lokal lagring og Web SQL-databaser. Hvis webstedet åbnes fra et appdefineret skema, der indeholder '%2f' (/) eller '%5c' (\) og '..' i værtssektionen af URL-adressen, kan et skadeligt websted medføre, at der oprettes databasearkiver uden for det angivne bibliotek. Problemet er løst ved at kode tegn, som kan have en særlig betydning i stinavne. Problemet påvirker ikke websteder, der anvender http:- eller https:-skemaer. Tak til: Apple.

  • WebKit

    CVE-id: CVE-2010-1392

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der er et use-after-free-problem i WebKits visning af HTML-knapper. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet er løst ved forbedret hukommelseshåndtering. Tak til Matthieu Bonetti fra VUPEN Vulnerability Research Team og wushi fra team509, der arbejder med TippingPoints Zero Day Initiative, for at rapportere problemet.

  • WebKit

    CVE-id: CVE-2010-1393

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et skadeligt websted kan medføre afsløring af oplysninger

    Beskrivelse: Der er et problem med afsløring af oplysninger i WebKits håndtering af CSS-formatark (Cascading Stylesheets). Hvis HREF-attributten for et formatark er angivet til en URL-adresse, der medfører en omdirigering, kan scripts på siden muligvis få adgang til den omdirigerede URL-adresse. Besøg på et skadeligt websted kan medføre afsløring af følsomme URL-adresser på et andet websted. Problemet er løst ved at returnere den originale URL-adresse til scripts i stedet for den omdirigerede URL-adresse.

  • WebKit

    CVE-id: CVE-2010-1119

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 eller nyere, Mac OS X Server v10.6.1 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der er et use-after-free-problem i WebKits håndtering af attributmanipulering. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet er løst ved forbedret sporing af hukommelsesreference. Tak til Vincenzo Iozzo og Ralf Philipp Weinmann, der arbejder med TippingPoints Zero Day Initiative, og Michal Zalewski fra Google, Inc. for at rapportere problemet.

  • WebKit

    CVE-id: CVE-2010-1394

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et skadeligt websted kan medføre et scripting-angreb på tværs af websteder

    Beskrivelse: Der er et designproblem i WebKits håndtering af HTML-dokumentfragmenter. Indholdet i HTML-dokumentfragmenter behandles, før et fragment er føjet til et dokument. Besøg på et skadeligt websted kan medføre scripting-angreb på tværs af websteder, hvis et legitimt websted forsøger at manipulere med et dokumentfragment, der indeholder ikke-godkendte data. Problemet er løst ved at sikre, at den indledende fragmentparsing ikke har bivirkninger for det dokument, der oprettede fragmentet. Tak til Eduardo Vela Nava (sirdarckcat) fra Google Inc., som har rapporteret problemet.

  • WebKit

    CVE-id: CVE-2010-1422

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Interaktion med et skadeligt websted kan medføre uventede handlinger på andre websteder

    Beskrivelse: Der er et implementeringsproblem i WebKits håndtering af tastaturfokus. Hvis tastaturfokus ændres under behandling af tastetryk, kan WebKit sende en hændelse til den ramme, der for nylig har fået fokus, i stedet for den ramme, der havde fokus, da tastetrykket indtraf. Et skadeligt websted kan muligvis manipulere en bruger til at foretage en uventet handling, f.eks. starte et køb. Problemet er løst ved at forhindre levering af tastetryk, hvis tastaturfokus ændres under behandling. Tak til Michal Zalewski fra Google Inc., som har rapporteret problemet.

  • WebKit

    CVE-id: CVE-2010-1395

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et skadeligt websted kan medføre et scripting-angreb på tværs af websteder

    Beskrivelse: Der er et problem med administration af omfang i WebKits håndtering af DOM-oprettelsesobjekter. Besøg på et skadeligt websted kan medføre et scripting-angreb på tværs af websteder. Problemet er løst via forbedret håndtering af DOM-oprettelsesobjekter. Tak til Gianni "gf3" Chiappetta fra Runlevel6, som har rapporteret problemet.

  • WebKit

    CVE-id: CVE-2010-1396

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der er et use-after-free-problem i WebKits håndtering af fjernelse af beholderelementer. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet er løst ved forbedret sporing af hukommelsesreference. Tak til wushi fra team509, som samarbejder med TippingPoints Zero Day Initiative for at rapportere problemet.

  • WebKit

    CVE-id: CVE-2010-1397

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der er et use-after-free-problem i WebKits visning af en markering, når layoutet ændres. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet er løst via forbedret håndtering af markeringer. Tak til wushi&Z fra team509, som arbejder med TippingPoints Zero Day Initiative, for at rapportere problemet.

  • WebKit

    CVE-id: CVE-2010-1398

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der er et problem med beskadiget hukommelse i WebKits håndtering af indsættelse af sorterede lister. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet er løst via forbedret håndtering af indsættelse af lister. Tak til wushi fra team509, som samarbejder med TippingPoints Zero Day Initiative for at rapportere problemet.

  • WebKit

    CVE-id: CVE-2010-1399

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der er et problem med adgang til ikke-initialiseret hukommelse i WebKits håndtering af ændrede markeringer i formularinputelementer. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet er løst via forbedret håndtering af markeringer. Tak til wushi fra team509, som samarbejder med TippingPoints Zero Day Initiative for at rapportere problemet.

  • WebKit

    CVE-id: CVE-2010-1400

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der er et use-after-free-problem i WebKits håndtering af elementer med billedtekst. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet er løst via forbedret håndtering af elementer med billedtekst. Tak til wushi fra team509, der arbejder med iDefense, for at rapportere problemet.

  • WebKit

    CVE-id: CVE-2010-1401

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der er et use-after-free-problem i WebKits håndtering af pseudoelementet ':first-letter' i CSS-formatark. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet er løst via forbedret håndtering af pseudoelementet ':first-letter'. Tak til wushi fra team509, som samarbejder med TippingPoints Zero Day Initiative for at rapportere problemet.

  • WebKit

    CVE-id: CVE-2010-1402

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der er et double free-problem i WebKits håndtering af hændelseslyttefunktioner i SVG-dokumenter. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet er løst via forbedret håndtering af SVG-dokumenter. Tak til wushi fra team509, som samarbejder med TippingPoints Zero Day Initiative for at rapportere problemet.

  • WebKit

    CVE-id: CVE-2010-1403

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der er en problem med adgang til ikke-initialiseret hukommelse i WebKits håndtering af 'use'-elementer i SVG-dokumenter. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet løses ved forbedret håndtering af "use"- elementer i SVG-dokumenter. Tak til wushi fra team509, som samarbejder med TippingPoints Zero Day Initiative, som har rapporteret problemet.

  • WebKit

    CVE-id: CVE-2010-1404

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der er et use-after-free-problem i WebKits håndtering af SVG-dokumenter i flere 'use'-elementer. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet løses ved forbedret håndtering af "use"- elementer i SVG-dokumenter. Tak til wushi fra team509, som samarbejder med TippingPoints Zero Day Initiative for at rapportere problemet.

  • WebKit

    CVE-id: CVE-2010-1410

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der er et problem med beskadiget hukommelse i WebKits håndtering af indlejrede 'use'-elementer i SVG-dokumenter. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet er løst via forbedret håndtering af indlejrede 'use'-elementer i SVG-dokumenter. Tak til Aki Helin fra OUSPG, som har rapporteret problemet.

  • WebKit

    CVE-id: CVE-2010-1749

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der er et use-after-free-problem i WebKits håndtering af CSS-run-ins. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet er løst via forbedret håndtering af CSS-run-ins. Tak til wushi fra team509, som samarbejder med TippingPoints Zero Day Initiative for at rapportere problemet.

  • WebKit

    CVE-id: CVE-2010-1405

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der er et use-after-free-problem i WebKits håndtering af HTML-elementer med tilpasset lodret placering. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet er løst ved forbedret sporing af hukommelsesreference. Tak til Ojan Vafai fra Google Inc., som har rapporteret problemet.

  • WebKit

    CVE-id: CVE-2010-1406

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et HTTPS-websted, der omdirigerer til et HTTP-websted, kan medføre afsløring af oplysninger

    Beskrivelse: Når WebKit omdirigeres fra et HTTPS-websted til et HTTP-websted, overføres headeren fra henvisningen til HTTP-webstedet. Det kan medføre afsløring af følsomme oplysninger, der findes i URL-adressen til HTTPS-webstedet. Problemet er løst ved ikke at overføre headeren fra henvisningen, når et HTTPS-websted omdirigerer til et HTTP-websted. Tak til Colin Percival fra Tarsnap, som har rapporteret problemet.

  • WebKit

    CVE-id: CVE-2010-1408

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et skadeligt websted kan medføre, at der sendes eksternt angivne data til vilkårlige TCP-porte

    Beskrivelse: Der er et problem med afkortelse af heltal i WebKits håndtering af anmodninger til ikke-standard-TCP-porte. Besøg på et skadeligt websted kan medføre, at der sendes eksternt angivne data til vilkårlige TCP-porte. Problemet er løst ved at sikre, at portnumre er inden for det gyldige interval.

  • WebKit

    CVE-id: CVE-2010-1409

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et skadeligt websted kan tillade, at der sendes eksternt angivne data til en IRC-server

    Beskrivelse: Almindeligt brugte IRC-tjenesteporte er ikke inkluderet i WebKits liste over blokerede porte. Besøg på et skadeligt websted kan tillade, at der sendes eksternt angivne data til en IRC-server. Det kan medføre, at serveren foretager utilsigtede handlinger på brugerens vegne. Problemet er løst ved at føje de berørte porte til WebKits liste over blokerede porte.

  • WebKit

    CVE-id: CVE-2010-1412

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der er et use-after-free-problem i WebKits håndtering af hændelser med markøren. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet er løst via forbedret håndtering af hændelser med markøren. Tak til Dave Bowker fra davebowker.com, som har rapporteret problemet.

  • WebKit

    CVE-id: CVE-2010-1413

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: En brugers NTLM-oplysninger kan muligvis blive afsløret for en MITM-hacker

    Beskrivelse: Under visse omstændigheder kan WebKit sende NTLM-brugeroplysninger i almindelig tekst. Det ville give en MITM-hacker mulighed for at se NTLM-brugeroplysningerne. Problemet er løst via forbedret håndtering af NTLM-brugeroplysninger. Tak til: Apple.

  • WebKit

    CVE-id: CVE-2010-1414

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der er et use-after-free-problem i WebKits håndtering af DOM-metoden removeChild. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet er løst via forbedret håndtering af fjernelse af underordnede elementer. Tak til Mark Dowd fra Azimuth Security, som har rapporteret problemet.

  • WebKit

    CVE-id: CVE-2010-1415

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der er et problem med misbrug af API i WebKits håndtering af libxml-kontekster. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet er løst via forbedret håndtering af objekter i libxml-kontekster. Tak til Aki Helin fra OUSPG, som har rapporteret problemet.

  • WebKit

    CVE-id: CVE-2010-1416

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et skadeligt websted kan afsløre billeder fra andre websteder

    Beskrivelse: Der er et problem med indlæsning af billeder på tværs af websteder i WebKit. Ved at bruge et lærred med et SVG-billedmønster kan et skadeligt websted muligvis indlæse et billede fra et andet websted. Problemet er løst ved at begrænse læsning af lærreder, der indeholder mønstre, som er indlæst fra andre websteder. Tak til Chris Evans fra Google Inc., som har rapporteret problemet.

  • WebKit

    CVE-id: CVE-2010-1417

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der er et problem med beskadiget hukommelse i WebKits visning af CSS-baseret HTML-indhold med flere :after pseudo-vælgere. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet er løst via forbedret visning af HTML-indhold. Tak til wushi fra team509, som har rapporteret problemet.

  • WebKit

    CVE-id: CVE-2010-1418

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et skadeligt websted kan medføre et scripting-angreb på tværs af websteder

    Beskrivelse: Der er en problem med inputvalidering i WebKits håndtering af src-attributten for rammeelementet. En attribut med et javascript-skema og foranstillede mellemrum opfattes som gyldig. Besøg på et skadeligt websted kan medføre et scripting-angreb på tværs af websteder. Denne opdatering løser problemet ved at validere frame.src korrekt, før henvisningen til URL-adressen ophæves. Tak til Sergey Glazunov, som har rapporteret problemet.

  • WebKit

    CVE-id: CVE-2010-1419

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der er et use-after-free-problem i WebKits håndtering af træk og slip, når det vindue, der fungerer som kilden for trækhandlingen, lukkes, før trækhandlingen er fuldført. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet er løst ved forbedret hukommelseshåndtering. Tak til kuzzcc og Skylined fra Google Chrome Security Team, som har rapporteret problemet.

  • WebKit

    CVE-id: CVE-2010-1421

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et skadeligt websted kan muligvis ændre indholdet i udklipsholderen

    Beskrivelse: Der er et designproblem i implementeringen af JavaScript-funktionen execCommand. Et skadeligt websted kan ændre indholdet i udklipsholderen uden brugerhandling. Problemet er løst ved kun at tillade, at der kan køres kommandoer til udklipsholderen, hvis de startes af brugeren. Tak til: Apple.

  • WebKit

    CVE-id: CVE-2010-0544

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et skadeligt websted kan medføre et scripting-angreb på tværs af websteder

    Beskrivelse: Et problem i Webkits håndtering af forkert formaterede URL-adresser kan medføre et scripting-angreb på tværs af websteder, når en bruger besøger et skadeligt websted. Problemet er løst via forbedret håndtering af URL-adresser. Tak til Michal Zalewski fra Google Inc., som har rapporteret problemet.

  • WebKit

    CVE-id: CVE-2010-1758

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der er et use-after-free-problem i WebKits håndtering af objekter i DOM-intervallet. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet er løst via forbedret håndtering af objekter i DOM-intervallet. Tak til Yaar Schnitman fra Google Inc., som har rapporteret problemet.

  • WebKit

    CVE-id: CVE-2010-1759

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der er et use-after-free-problem i WebKits håndtering af metoden Node.normalize. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet er løst via forbedret håndtering af metoden Node.normalize. Tak til Mark Dowd, som har rapporteret problemet.

  • WebKit

    CVE-id: CVE-2010-1761

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der er et use-after-free-problem i WebKits visning af undertræer i HTML-dokumenter. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet er løst via forbedret visning af undertræer i HTML-dokumenter. Tak til James Robinson fra Google Inc., som har rapporteret problemet.

  • WebKit

    CVE-id: CVE-2010-1762

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et skadeligt websted kan medføre et scripting-angreb på tværs af websteder

    Beskrivelse: Der er et designproblem i håndteringen af HTML i textarea-elementer. Besøg på et skadeligt websted kan medføre et scripting-angreb på tværs af websteder. Problemet er løst via forbedret validering af textarea-elementer. Tak til Eduardo Vela Nava (sirdarckcat) fra Google Inc., som har rapporteret problemet.

  • WebKit

    CVE-id: CVE-2010-1764

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et websted, som omdirigerer indsendelse af formularer, kan medføre afsløring af oplysninger

    Beskrivelse: Der er et designproblem i WebKits håndtering af HTTP-omdirigeringer. Når indsendelse af en formular omdirigeres til et websted, der også omdirigerer, sendes de oplysninger, der findes i den indsendte formular, muligvis til det tredje websted. Problemet er løst via forbedret håndtering af HTTP-omdirigeringer. Tak til Marc Worrell fra WhatWebWhat, som har rapporteret problemet.

  • WebKit

    CVE-id: CVE-2010-1770

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der er et problem med kontrol af typer i WebKits håndtering af tekstknudepunkter. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet er løst via forbedret kontrol af typer. Tak til wushi fra team509, som samarbejder med TippingPoints Zero Day Initiative for at rapportere problemet.

  • WebKit

    CVE-id: CVE-2010-1771

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der er et use-after-free-problem i WebKits håndtering af skrifter. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet er løst via forbedret håndtering af skrifter. Tak til: Apple.

  • WebKit

    CVE-id: CVE-2010-1774

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der er et problem med overskredet hukommelsesadgang i WebKits håndtering af HTML-tabeller. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet er løst via forbedret kontrol af grænser. Tak til wushi fra team509, som har rapporteret problemet.

  • WebKit

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    Effekt: Et skadeligt websted kan muligvis registrere, hvilke websteder en bruger har besøgt

    Beskrivelse: Der er et designproblem i WebKits håndtering af pseudoklassen CSS :visited. Et skadeligt websted kan muligvis registrere, hvilke websteder en bruger har besøgt. Denne opdatering begrænser websteders evne til at formatere sider ud fra, om links er besøgt.

Bemærk: I Safari 5.0 og Safari 4.1 er de samme sikkerhedsproblemer blevet løst. Safari 5.0 leveres til Mac OS X v10.5-, Mac OS X v10.6- og Microsoft Windows-systemer. Safari 4.1 leveres til Mac OS X v10.4-systemer.

Vigtigt: Oplysninger om produkter, der ikke er fremstillet af Apple, gives kun til orientering og udgør ikke Apples anbefaling eller godkendelse. Kontakt producenten for at få yderligere oplysninger.

Udgivelsesdato: