Om sikkerhetsinnholdet i Safari 5.0.2 og Safari 4.1.2

Dette dokumentet beskriver sikkerhetsinnholdet i Safari 5.0.2 og Safari 4.1.2.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple-produktsikkerhet på nettstedet for Apple-produktsikkerhet.

Hvis du vil ha mer informasjon om PGP-nøkkelen for Apple-produktsikkerhet, kan du lese «Slik bruker du PGP-nøkkelen for Apple-produktsikkerhet.»

Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.

Hvis du vil ha mer informasjon om andre sikkerhetsoppdateringer, går du til «Sikkerhetsoppdateringer fra Apple.»

Safari 5.0.2 og Safari 4.1.2

• Safari

  CVE-ID: CVE-2010-1805

  Tilgjengelig for: Windows 7, Vista, XP SP2 eller nyere

  Virkning: Åpning av en fil i en katalog som kan skrives av andre brukere kan føre til kjøring av vilkårlig kode

  Beskrivelse: Det er et søkebaneproblem i Safari. Når plasseringen til en nedlastet fil vises, åpner Safari Windows Explorer uten å spesifisere en fullstendig bane som kan kjøres. Åpning av Safari ved å åpne en fil i en spesifikk katalog vil inkludere den katalogen i søkebanen. Forsøk på å avsløre plasseringen til en nedlastet fil kan kjøre et program inkludert i den katalogen, noe som kan føre til kjøring av vilkårlig kode. Problemet løses ved å bruke en eksplisitt søkebane ved åpning av Windows Explorer. Problemet berører ikke Mac OS X-systemer. Takk til Simon Raner hos ACROS Security for rapportering av dette problemet.

• WebKit

  CVE-ID: CVE-2010-1807

  Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

  Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode

  Beskrivelse: Det er et problem med validering av inndata i WebKits håndtering av flyttalldatatyper. Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode. Problemet løses gjennom ekstra validering av flyttallverdier. Takk til Luke Wagner fra Mozilla, som rapporterte dette problemet.

• WebKit

  CVE-ID: CVE-2010-1806

  Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

  Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode

  Beskrivelse: Det er et bruk-etter-frigivelse-problem i WebKits håndtering av elementer med tilleggsstil. Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode. Problemet løses gjennom forbedret håndtering av objektpekere. Takk til wushi fra team509 som arbeider med TippingPoints Zero Day Initiative for rapportering av dette problemet.