Over de beveiligingsinhoud van Safari 5.0.1 en Safari 4.1.1

In dit document wordt de beveiligingsinhoud van Safari 5.0.1 en Safari 4.1.1 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.

Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple beveiligingsreleases voor meer informatie over andere beveiligingsupdates.

Safari 5.0.1 en Safari 4.1.1

  • Safari

    • CVE-ID: CVE-2010-1778

    • Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    • Impact: het openen van een kwaadwillig vervaardigde RSS-feed kan ertoe leiden dat bestanden van het systeem van de gebruiker naar een externe server worden verzonden

    • Beschrijving: er trad een cross-site scripting-probleem op bij de verwerking van RSS-feeds door Safari. Het openen van een kwaadwillig vervaardigde RSS-feed kan ertoe leiden dat bestanden van het systeem van de gebruiker naar een externe server worden verzonden. Dit probleem is verholpen door verbeterde verwerking van RSS-feeds. Met dank aan Billy Rios van het Google Security Team voor het melden van dit probleem.

  • Safari

    • CVE-ID: CVE-2010-1796

    • Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    • Impact: de functie van Safari voor automatisch invullen geeft mogelijk informatie vrij aan websites zonder interactie van de gebruiker

    • Beschrijving: de functie van Safari voor automatisch invullen vult mogelijk automatisch webformulieren in met informatie in het adresboek van Mac OS X, Outlook of het adresboek van Windows. Standaard is gebruikersinteractie nodig voor het automatisch invullen van een webformulier. Er is sprake van een implementatieprobleem waardoor een kwaadwillig vervaardigde website Automatisch invullen kan activeren zonder interactie van de gebruiker. Dit kan leiden tot de onthulling van informatie in de adresboekkaart van de gebruiker. Voor het activeren van het probleem zijn de volgende twee situaties vereist. Ten eerste moet in 'Instellingen' van Safari, onder 'Automatisch invullen' het selectievakje 'Vul webformulieren automatisch in met gegevens van mijn adresboekkaart' ingeschakeld zijn. Ten tweede moet in het adresboek van de gebruiker een kaart zijn aangewezen als 'Mijn kaart'. Alleen de informatie op die specifieke kaart is toegankelijk via Automatisch invullen. Dit probleem is verholpen door Automatisch invullen te verbieden informatie te gebruiken zonder actie van de gebruiker. Het probleem is niet van invloed op apparaten met iOS. Met dank aan Jeremiah Grossman van WhiteHat Security voor het melden van dit probleem.

  • WebKit

    • CVE-ID: CVE-2010-1780

    • Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    • Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    • Beschrijving: er trad een use-after-free-probleem op bij de verwerking van elementfocus door WebKit. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde verwerking van elementfocus. Met dank aan Tony Chang van Google, Inc. voor het melden van dit probleem.

  • WebKit

    • CVE-ID: CVE-2010-1782

    • Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    • Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    • Beschrijving: er trad een probleem met geheugenbeschadiging op bij het weergeven van inline-elementen door WebKit. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde bereikcontrole. Met dank aan wushi van team509 voor het melden van dit probleem.

  • WebKit

    • CVE-ID: CVE-2010-1783

    • Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    • Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    • Beschrijving: er trad een probleem met geheugenbeschadiging op bij de verwerking van dynamische wijzigingen aan tekstknooppunten door WebKit. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door een verbeterd geheugenbeheer.

  • WebKit

    • CVE-ID: CVE-2010-1784

    • Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    • Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    • Beschrijving: er trad een probleem met geheugenbeschadiging op bij de verwerking van CSS-tellers door WebKit. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door een verbeterd geheugenbeheer. Met dank aan wushi van team509, in samenwerking met het Zero Day Initiative van TippingPoint, voor het melden van dit probleem.

  • WebKit

    • CVE-ID: CVE-2010-1785

    • Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    • Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    • Beschrijving: er trad een probleem met niet-geïnitialiseerde geheugentoegang op bij de verwerking van de pseudo-elementen ':first-letter' en ':first-line' in SVG-tekstelementen door WebKit. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door de pseudo-elementen ':first-letter' of ':first-line' niet weer te geven in SVG-tekstelementen. Met dank aan wushi van team509, in samenwerking met het Zero Day Initiative van TippingPoint, voor het melden van dit probleem.

  • WebKit

    • CVE-ID: CVE-2010-1786

    • Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    • Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    • Beschrijving: er trad een use-after-free-probleem op bij de verwerking van foreignObject-elementen in SVG-documenten door WebKit. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde validatie van SVG-documenten. Met dank aan wushi van team509, in samenwerking met het Zero Day Initiative van TippingPoint, voor het melden van dit probleem.

  • WebKit

    • CVE-ID: CVE-2010-1787

    • Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    • Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    • Beschrijving: er trad een probleem met geheugenbeschadiging op bij de verwerking van zwevende elementen in SVG-documenten door WebKit. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door een verbeterd geheugenbeheer. Met dank aan wushi van team509, in samenwerking met het Zero Day Initiative van TippingPoint, voor het melden van dit probleem.

  • WebKit

    • CVE-ID: CVE-2010-1788

    • Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    • Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    • Beschrijving: er trad een probleem met geheugenbeschadiging op bij de verwerking van 'use'-elementen in SVG-documenten door WebKit. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde verwerking van 'use'-elementen in SVG-documenten. Met dank aan Justin Schuh van Google, Inc. voor het melden van dit probleem.

  • WebKit

    • CVE-ID: CVE-2010-1789

    • Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    • Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    • Beschrijving: er trad een heapbufferoverloop op bij de verwerking van JavaScript-tekenreeksobjecten door WebKit. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde bereikcontrole. Met dank aan Apple.

  • WebKit

    • CVE-ID: CVE-2010-1790

    • Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    • Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    • Beschrijving: er trad een invoerprobleem op bij het verwerking van just-in-time gecompileerde JavaScript-stubs door WebKit. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde synchronisatie.

  • WebKit

    • CVE-ID: CVE-2010-1791

    • Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    • Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    • Beschrijving: er trad een probleem met ondertekening op bij de verwerking van JavaScript-arrays door WebKit. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde verwerking van JavaScript-arrayindexen. Met dank aan Natalie Silvanovich voor het melden van dit probleem.

  • WebKit

    • CVE-ID: CVE-2010-1792

    • Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    • Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    • Beschrijving: er trad een probleem met geheugenbeschadiging op bij de verwerking van reguliere expressies door WebKit. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde verwerking van reguliere expressies. Met dank aan Peter Varga van de Universiteit van Szeged voor het melden van dit probleem.

  • WebKit

    • CVE-ID: CVE-2010-1793

    • Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    • Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    • Beschrijving: er trad een use-after-free-probleem op bij de verwerking van de elementen 'font-face' en 'use' in SVG-documenten door WebKit. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde verwerking van de elementen 'font-face' en 'use' in SVG-documenten. Met dank aan Aki Helin van OUSPG voor het melden van dit probleem.

Belangrijk: De vermelding van websites en producten van derden is alleen bedoeld ter informatie en impliceert niet dat wij deze websites of producten goedkeuren of aanbevelen. Apple aanvaardt geen verantwoordelijkheid met betrekking tot de selectie, prestaties of het gebruik van informatie of producten op websites van derden. Apple biedt dit alleen aan voor het gemak van onze gebruikers. Apple heeft de informatie op deze sites niet getest en doet geen uitspraken over de juistheid of betrouwbaarheid ervan. Er zijn risico's verbonden aan het gebruik van informatie of producten die op internet worden gevonden en Apple aanvaardt in dit verband geen enkele verantwoordelijkheid. Het is belangrijk om je te realiseren dat een site van derden onafhankelijk is van Apple en dat Apple geen controle heeft over het materiaal op die website. Neem voor meer informatie contact op met de leverancier.

Publicatiedatum: