Sprachen

Informationen über den Sicherheitsinhalt von Safari 3 Beta Update 3.0.3

In diesem Dokument wird der Sicherheitsinhalt des Safari 3 Beta Updates 3.0.3 beschrieben. Dieses kann unter Verwendung der Option Software-Aktualisierung oder bei Apple Downloads geladen werden.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Programmkorrekturen oder Versionen verfügbar sind. Nähere Informationen zur Apple Produktsicherheit finden Sie auf der Website Produktsicherheit von Apple.

Informationen zum Apple Produktsicherheits-PGP-Schlüssel finden Sie hier: "So verwenden Sie den Apple Produktsicherheits-PGP-Schlüssel".

CVE IDs werden für die Bezugnahme auf die Schwachstellen in weiteren Informationen verwendet, wo dies möglich ist.

Informationen zu weiteren Security Updates finden Sie hier: "Apple Security Updates".
 

Safari 3 Beta Update 3.0.3

  • Safari

    CVE-ID: CVE-2007-3743

    Verfügbar für: Windows XP oder Vista

    Auswirkung: Das Hinzufügen von Lesezeichen kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen.

    Beschreibung: Bei der Handhabung von Lesezeichen in Safari existiert eine Stapelpufferüberlauf-Schwachstelle. Dieses Problem kann von einem Angreifer ausgelöst werden, indem ein Benutzer dazu verleitet wird, ein Lesezeichen mit überlangem Titel zu öffnen, was zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen kann. Mit diesem Update wird das Problem behoben, indem korrekte Abgrenzungsüberprüfungen durchgeführt werden. Dieses Problem hat keine Auswirkung auf Mac OS X Systeme.

  • WebKit

    CVE-ID: CVE-2007-2408

    Verfügbar für: Mac OS X 10.4.9 oder höher, Windows XP oder Vista

    Auswirkung: Das Aufrufen einer in böser Absicht erstellten Website kann dazu führen, dass Java-Applets geladen und ausgeführt werden, auch wenn Java deaktiviert ist.

    Beschreibung: Safari verfügt über eine Einstellung zum Aktivieren von Java. Wenn diese Option deaktiviert ist, sollten keine Java-Applets geladen werden. Standardmäßig lässt das System das Laden von Java-Applets zu. Das Aufrufen einer in böser Absicht erstellten Website kann dazu führen, dass Java-Applets geladen werden können, auch wenn die Option deaktiviert ist. Mit diesem Update wird das Problem behoben, indem strenger überprüft wird, ob Java aktiviert ist. Dank an Scott Wild für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2007-3742

    Verfügbar für: Mac OS X 10.4.9 oder höher, Windows XP oder Vista

    Auswirkung: Identisch aussehende Zeichen in einer URL können zur Verschleierung einer Website verwendet werden.

    Beschreibung: Die IDN (International Domain Name)-Unterstützung und die Unicode-Schriftarten in Safari könnten zur Erstellung einer URL verwendet werden, die identisch aussehende Zeichen verwendet. Diese könnte auf einer in böser Absicht erstellten Website verwendet werden, um den Benutzer auf eine gespoofte Website zu verweisen, die äußerlich wie eine legitime Domäne aussieht. Mit diesem Update wird das Problem durch verbesserte Überprüfung der Gültigkeit von Domänennamen behoben.

  • WebKit

    CVE-ID: CVE-2007-3944

    Verfügbar für: Mac OS X 10.4.9 oder höher, Windows XP oder Vista

    Auswirkung: Das Anzeigen einer in böser Absicht erstellten Webseite kann zur Ausführung von willkürlichem Code führen.

    Beschreibung: Es bestehen Stapelpufferüberläufe in der PCRE (Perl Compatible Regular Expressions)-kompatiblen Bibliothek, die von der JavaScript-Maschine in Safari verwendet wird. Wird ein Benutzer zum Aufrufen einer in böser Absicht erstellten Webseite verleitet, kann ein Angreifer dieses Problem ausnutzen und so die Ausführung willkürlichen Codes auslösen. Mit diesem Update wird das Problem durch Ausführen einer zusätzlichen Validierung regulärer JavaScript-Ausdrücke behoben. Dank an Charlie Miller und Jake Honoroff von Independet Security Evaluators, die dieses Problem gemeldet haben.

Zuletzt geändert: 04.10.2008
  • Last Modified: 04.10.2008
  • Article: TA24875
  • Views:

    474

Zusätzliche Supportinformationen zum Produkt