Over de beveiligingsinhoud van Safari 3 Beta Update 3.0.3

In dit document wordt de beveiligingsinhoud beschreven van de Safari 3 Beta Update 3.0.3, die gedownload en geïnstalleerd kan worden via de voorkeur Software Update of van Apple Downloads.

Ter bescherming van onze klanten worden er geen beveiligingskwesties openbaar gemaakt, besproken of bevestigd totdat er een volledig onderzoek heeft plaatsgevonden en de benodigde patches of versies beschikbaar zijn. Om meer te weten te komen over Apple's productbeveiliging, gaat u naar de website Apple productbeveiliging.

Voor informatie over de Apple PGP-sleutel voor productbeveiliging, raadpleegt u "Zo gebruikt u de Apple PGP-sleutel voor productbeveiliging".

Indien mogelijk worden er voor verdere informatie CVE-ID's gebruikt voor verwijzing naar deze kwetsbaarheden.

Om meer te lezen over andere beveiligingsupdates, gaat u naar "Apple beveiligingsupdates".
 

Safari 3 Beta Update 3.0.3

• Safari

  CVE-ID: CVE-2007-3743

  Beschikbaar voor: Windows XP of Vista

  Effect: Het toevoegen van bladwijzers kan leiden tot het onverwacht afsluiten van een programma of de uitvoering van willekeurige code

  Omschrijving: Er bestaat een kwetsbaarheid in de vorm van een stack-bufferoverloop in de afhandeling van bladwijzers door Safari. Door een gebruiker te verleiden een bladwijzer met een te lange titel toe te voegen, kan een aanvaller het probleem activeren, wat kan leiden tot het onverwacht afsluiten van een programma of de uitvoering van willekeurige code. Deze update verhelpt dit probleem door de juiste grenscontrole uit te voeren. Dit probleem geldt niet voor Mac OS X-systemen.

• WebKit

  CVE-ID: CVE-2007-2408

  Beschikbaar voor: Mac OS X v10.4.9 of hoger, Windows XP of Vista

  Effect: Het bezoeken van een kwaadaardige website kan ertoe leiden dat Java-applets worden geladen en uitgevoerd, zelfs wanneer Java uitgeschakeld is

  Omschrijving: Safari voorziet in een voorkeur om Java in te schakelen. Wanneer deze optie uitgeschakeld is, wordt het laden van Java-applets voorkomen. Standaard is het toegestaan om Java-applets te laden. Het navigeren naar een kwaadwillig vervaardigde webpagina kan ertoe leiden dat een Java-applet wordt geladen, zonder dat deze voorkeur wordt gecontroleerd. Deze update verhelpt dit probleem via een striktere controle van de voorkeur voor het inschakelen van Java. Met dank aan Scott Wilde voor het melden van dit probleem.

• WebKit

  CVE-ID: CVE-2007-3742

  Beschikbaar voor: Mac OS X v10.4.9 of hoger, Windows XP of Vista

  Effect: Gelijk uitziende tekens in een URL kunnen worden gebruikt om een website te maskeren

  Omschrijving: De ondersteuning van IDN (International Domain Name) en Unicode-lettertypen die zijn geïntegreerd in Safari, kunnen worden gebruikt om een URL te maken die gelijk uitziende tekens bevat. Deze kunnen worden gebruikt in een kwaadaardige website om de gebruiker door te sturen naar een bedrieglijke site die er uit lijkt te zien als een legitiem domein. Deze update verhelp dit probleem via een verbeterde geldigheidscontrole voor domeinnamen.

• WebKit

  CVE-ID: CVE-2007-3944

  Beschikbaar voor: Mac OS X v10.4.9 of hoger, Windows XP of Vista

  Effect: Het bekijken van een kwaadaardig vervaardigde webpagina kan leiden tot de uitvoering van willekeurige code

  Omschrijving: Er bestaan heap-bufferoverlopen in de PCRE-bibliotheek (Perl Compatible Regular Expressions) die wordt gebruikt door de JavaScript-engine in Safari. Door een gebruiker te verleiden een kwaadwillig vervaardigde webpagina te bezoeken, kan een aanvaller dit probleem activeren en dat kan leiden tot de uitvoering van willekeurige code. Deze update verhelpt dit probleem door een extra validatie van reguliere JavaScript-expressies uit te voeren. Met dank aan Charlie Miller en Jake Honoroff van Independent Security Evaluators voor het melden van deze problemen.