Om sikkerhedsindholdet i Safari 3 Beta Update 3.0.3

Dette dokument beskriver sikkerhedsindholdet i Safari 3 Beta Update 3.0.3, som kan hentes og installeres via Softwareopdatering eller fra Apple Downloads.

Som en beskyttelse for vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, førend en fuld efterforskning har fundet sted og relevante programrettelser eller versioner kan hentes. Hvis du vil læse mere om Apple Produktsikkerhed, kan du besøge websiten Apple Produktsikkerhed.

Gå til "Sådan bruges PGP-nøglen til Apple Produktsikkerhed" for at få oplysninger om PGP-nøglen til Apple Produktsikkerhed.

Hvor det er muligt, anvendes CVE-id'er til at referere til yderligere oplysninger om sikkerhedsproblemer.

Gå til "Apple Sikkerhedsopdateringer", hvis du vil lære mere om andre sikkerhedsopdateringer.
 

Safari 3 Beta Update 3.0.3

• Safari

  CVE-id: CVE-2007-3743

  Tilgængelig for: Windows XP eller Vista

  Indvirkning: Tilføjelse af bogmærker kan føre til uventet programafslutning eller afvikling af vilkårlige koder.

  Beskrivelse: En sårbarhed i stackbufferoverløb findes i Safaris bogmærkehåndtering. Ved at friste en bruger til at tilføje et bogmærke med en overlang titel kan en angriber udløse overløbet, som kan føre til et uventet programnedbrud eller vilkårlig kørsel af kode. Denne opdatering korrigerer problemet ved at udføre korrekt begrænsningskontrol. Dette problem påvirker ikke Mac OS X-systemer.

• WebKit

  CVE-id: CVE-2007-2408

  Tilgængelig for: Mac OS X v10.4.9 eller senere, Windows XP or Vista

  Indvirkning: Besøg på et skadeligt websted kan tillade, at Java-miniprogrammer indlæses og endda køres, når Java er deaktiveret.

  Beskrivelse: Safari leverer en "Enable Java"-indstilling, der, når den er umarkeret, skal forhindre indlæsning af Java-miniprogrammer. Som standard tillades det, at Java-miniprogrammer indlæses. Navigering til en ondsindet udfærdiget webside kan tillade, at et Java-miniprogram indlæses uden markering af indstillingen. Denne opdatering korrigerer problemet gennem en strengere kontrol med "Enable Java"-indstillingen. Tak til Scott Wilde, som har rapporteret dette problem.

• WebKit

  CVE-id: CVE-2007-3742

  Tilgængelig for: Mac OS X v10.4.9 eller senere, Windows XP or Vista

  Indvirkning: "Genganger"-tegn i en URL kan bruges til at maskere et websted

  Beskrivelse: International Domain Name (IDN) support og Unicode-fonte integreret i Safari kan bruges til at oprette en URL, der indeholder "genganger"-tegn. Disse kan blive brugt på et ondsindet websted til at dirigere brugeren til et svindel-site, der visuelt ser ud til at være et legitimt domæne. Denne opdatering korrigerer problemet gennem en forbedret gyldighedskontrol af domænenavn.

• WebKit

  CVE-id: CVE-2007-3944

  Tilgængelig for: Mac OS X v10.4.9 eller senere, Windows XP or Vista

  Indvirkning: Visning af en ondsindet udfærdiget webside kan føre til vilkårlig kørsel af kode

  Beskrivelse: Heap bufferoverløb findes i Perl Compatible Regular Expressions (PCRE)-biblioteket, der bruges af JavaScript-motoren i Safari. Ved at friste en bruger til at besøge en skadeligt udfærdiget webside kan angriberen udløse problemet, der kan føre til vilkårlig kørsel af kode. Denne opdatering korrigerer problemet ved at udføre yderligere validering af almindelige JavaScript-udtryk. Tak til Charlie Miller og Jake Honoroff hos Independent Security Evaluators for at rapportere disse problemer.