Om säkerhetsinnehållet i Safari 3 Beta Update 3.0.3

Detta dokument beskriver säkerhetsinnehållet i Safari 3 Beta Update 3.0.3, som kan hämtas och installeras via inställningspanelen Programuppdatering eller från webbsidan Apple Downloads.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har utförts och alla nödvändiga patchar eller utgåvor är tillgängliga. Gå till webbplatsen Apple Product Security för mer om information om Apples produktsäkerhet.

Information om Apples PGP-nyckel för produktsäkerhet finns tillgänglig på sidan Hur man använder PGP-nyckeln från Apple Product Security.

Om möjligt används CVE ID:n som referenser till ytterligare information om sårbarheterna.

Gå till sidan Apple Security Updates för information om andra säkerhetsuppdateringar.
 

Safari 3 Beta Update 3.0.3

• Safari

  CVE-ID: CVE-2007-3743

  Tillgänglig för: Windows XP eller Vista

  Inverkan: Tillägg av bokmärken kan leda till oväntad programavslutning eller exekvering av opålitlig kod

  Beskrivning: En sårbarhet med stack-buffertöversvämning förekommer i Safaris hantering av bokmärken. Genom att locka en användare till att lägga till ett bokmärke med en mycket lång titel kan en angripare utlösa problemet, vilket kan leda till oväntad programavslutning eller exekvering av opålitlig kod. Denna uppdatering åtgärdar problemet genom att utföra gränsvärdeskontroller. Detta problem påverkar inte Mac OS X-system.

• WebKit

  CVE-ID: CVE-2007-2408

  Tillgänglig för: Mac OS X v10.4.9 eller senare, Windows XP eller Vista

  Inverkan: Besök på en uppsåtlig webbplats kan medge inläsning och till och med körning av Java-miniprogram när Java är avaktiverat.

  Beskrivning: Safari har ett inställningsalternativ (Aktivera Java) som ska förhindra inläsning av Java-miniprogram när det inte är markerat. Inläsning av Java-miniprogram är tillåtet som standard. Navigering till en uppsåtligt skapad webbsida kan möjliggöra inläsning av ett Java-miniprogram när inställningen inte är markerad. Denna uppdatering åtgärdar problemet genom att utföra striktare kontroll av alternativet "Aktivera Java". Tack till Scott Wilde som rapporterade detta problem.

• WebKit

  CVE-ID: CVE-2007-3742

  Tillgänglig för: Mac OS X v10.4.9 eller senare, Windows XP eller Vista

  Inverkan: Dubbelgångartecken i en URL kan användas för att imitera en webbplats

  Beskrivning: International Domain Name (IDN)-stödet och Unicode-typsnitten som är inbäddade i Safari kan användas för att skapa en URL som innehåller dubbelgångartecken. Dessa kan användas på en uppsåtlig webbplats för att styra användaren till en förfalskad webbplats som ser ut att vara en rättmätig domän. Denna uppdatering åtgärdar problemet genom förbättrad verifieringskontroll av domännamn.

• WebKit

  CVE-ID: CVE-2007-3944

  Tillgänglig för: Mac OS X v10.4.9 eller senare, Windows XP eller Vista

  Inverkan: Visning av en uppsåtligt skapad webbsida kan leda till exekvering av opålitlig kod

  Beskrivning: Heap-buffertöversvämningar förekommer i Perl Compatible Regular Expressions (PCRE)-biblioteket som används av JavaScript-motorn i Safari. Genom att locka en användare att besöka en uppsåtligt skapad webbsida kan en angripare utlösa problemet, som kan leda till exekvering av opålitlig kod. Denna uppdatering åtgärdar problemet genom att utföra ytterligare verifiering av reguljära JavaScript-uttryck. Tack till Charlie Miller och Jake Honoroff på Independent Security Evaluators som rapporterade detta problem.