Over de beveiligingsinhoud van Safari 5.0.2 en Safari 4.1.2

In dit document wordt de beveiligingsinhoud van Safari 5.0.2 en Safari 4.1.2 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.

Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple beveiligingsreleases voor meer informatie over andere beveiligingsupdates.

Safari 5.0.2 en Safari 4.1.2

• Safari

  CVE-ID: CVE-2010-1805

  Beschikbaar voor: Windows 7, Vista, XP SP2 of nieuwer

  Impact: het openen van een bestand in een map die overschrijfbaar is door andere gebruikers kan leiden tot het uitvoeren van willekeurige code

  Beschrijving: er is sprake van een probleem met het zoekpad in Safari. Wanneer de locatie van een gedownload bestand wordt weergegeven, start Safari Windows Verkenner zonder een volledig pad naar het uitvoerbare bestand op te geven. Als Safari wordt gestart via het openen van een bestand in een bepaalde, wordt die map opgenomen in het zoekpad. Bij een poging de locatie van een gedownload bestand te tonen, kan een app in die map worden uitgevoerd, wat kan leiden tot willekeurige uitvoering van een code. Dit probleem is opgelost door een expliciet zoekpad te gebruiken bij het starten van Windows Verkenner. Dit probleem is niet van invloed op systemen met Mac OS X. Met dank aan Simon Raner van ACROS Security voor het melden van dit probleem.

• WebKit

  CVE-ID: CVE-2010-1807

  Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

  Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

  Beschrijving: er is sprake van een probleem met invoervalidatie bij de verwerking van gegevenstypen met een zwevende komma door WebKit. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door een verbeterde validatie van waarden met een zwevende komma. Met dank aan Luke Wagner van Mozilla voor het melden van dit probleem.

• WebKit

  CVE-ID: CVE-2010-1806

  Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

  Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

  Beschrijving: er bestaat een use-after-free-probleem bij de verwerking van elementen met run-in styling door WebKit. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door verbeterde verwerking van objectpointers. Met dank aan wushi van team509, in samenwerking met het Zero Day Initiative van TippingPoint, voor het melden van dit probleem.