Sprachen

Informationen über den Sicherheitsinhalt von Safari 3 Beta Update 3.0.4

In diesem Dokument wird der Sicherheitsinhalt von Safari 3 Beta Update 3.0.4 für Microsoft Windows XP und Vista beschrieben.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Programmkorrekturen oder Versionen verfügbar sind. Nähere Informationen zur Apple Produktsicherheit finden Sie auf der Website Produktsicherheit von Apple.

Informationen zum Apple Produktsicherheits-PGP-Schlüssel finden Sie hier: "How to use the Apple Product Security PGP Key".

Nach Möglichkeit werden für die Bezugnahme auf die Schwachstellen zur weiteren Information CVE IDs verwendet.

Informationen zu weiteren Security Updates finden Sie hier: "Apple Security Updates".

Safari 3 Beta Update 3.0.4

  • Safari

    CVE-ID: CVE-2007-4692

    Verfügbar für: Windows XP oder Vista

    Auswirkung: Ein Problem beim Surfen mit Tabs in Safari kann zur Bekanntgabe der Benutzeridentifikation führen.

    Beschreibung: In der Safari-Funktion zum Surfen mit Tabs gibt es ein Implementierungsproblem. Wenn eine Site, die nicht im aktiven Tab geladen wird, die HTTP-Identifizierung verwendet, kann ein Identifizierungsfenster angezeigt werden, obwohl der Tab und seine entsprechende Seite nicht sichtbar sind. Da der Benutzer möglicherweise denkt, dass das Fenster von der derzeit aktiven Seite stammt, kann es zur Bekanntgabe der Benutzeridentifikation kommen. Das vorliegende Update löst dieses Problem durch eine verbesserte Handhabung von Identifizierungsfenstern. Wir danken Michael Roitzsch von der Technischen Universität Dresden für die Meldung dieses Problems.

  • Safari

    CVE-ID: CVE-2007-1351, CVE-2007-1352, CVE-2007-2754

    Verfügbar für: Windows XP oder Vista

    Auswirkung: Mehrere Schwachstellen in FreeType v2.2.1

    Beschreibung: In FreeType v2.2.1 sind mehrere Schwachstellen vorhanden, von denen die gefährlichste eine willkürliche Code-Ausführung zur Folge haben kann. In diesem Update wird dieses Problem durch die Aktualisierung von FreeType auf Version 2.3.5 behoben. Weitere Informationen finden Sie auf der FreeType-Website unter http://www.freetype.org/.

  • WebCore

    CVE-ID: CVE-2007-3758

    Verfügbar für: Windows XP oder Vista

    Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann siteübergreifendes Skripting ermöglichen.

    Beschreibung: Ein siteübergreifendes Skripting-Problem in Safari ermöglicht es in böser Absicht erstellten Websites, JavaScript-Fenstereigenschaften von Websites festzulegen, die von einer anderen Domain bereitgestellt werden. Indem ein Benutzer zum Besuch einer in böser Absicht erstellten Website verleitet wird, kann ein Angreifer den Fensterstatus und den Ort von Seiten, die von anderen Websites bereitgestellt werden, anzeigen oder einstellen. Mit dieser Aktualisierung wird das Problem durch verbesserte Zugriffskontrollen auf diese Eigenschaften behoben. Wir danken Michal Zalewski von Google Inc. für die Meldung dieses Problems.

  • WebCore

    CVE-ID: CVE-2007-3760

    Verfügbar für: Windows XP oder Vista

    Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann siteübergreifendes Skripting ermöglichen.

    Beschreibung: Ein siteübergreifendes Skripting-Problem in Safari ermöglicht es einer in böser Absicht erstellten Website, die Richtlinien zum gleichen Ursprung durch Hosting eingebetter Objekte mit JavaScript-URLs zu umgehen. Indem ein Benutzer dazu verleitet wird, eine in böser Absicht erstellte Website zu besuchen, kann ein Angreifer die Ausführung von JavaScript im Kontext einer anderen Website verursachen. Mit diesem Update wird das Problem durch eine eingeschränkte Verwendung des JavaScript-URL-Schemas und eine zusätzliche Validierung des Ursprungs für diese URLs behoben. Wir danken Michal Zalewski von Google Inc. und Secunia Research für die Meldung dieses Problems.

  • WebCore

    CVE-ID: CVE-2007-3756

    Verfügbar für: Windows XP oder Vista

    Auswirkung: Das Aufrufen einer in böser Absicht erstellten Website kann zur Preisgabe von URL-Inhalten führen.

    Beschreibung: Safari kann es einer Website ermöglichen, die URL zu lesen, die gerade im übergeordneten Fenster angezeigt wird. Indem ein Benutzer dazu verleitet wird, eine in böser Absicht erstellte Website zu besuchen, erhält ein Angreifer unter Umständen die URL einer anderen Website. Mit diesem Update wird das Problem durch verbesserte domänenübergreifende Sicherheitsüberprüfungen behoben. Wir danken Michal Zalewski von Google Inc. und Secunia Research für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2007-4671

    Verfügbar für: Windows XP oder Vista

    Auswirkung: JavaScript auf Websites könnte auf Inhalte von Dokumenten, die über HTTPS bereitgestellt werden, zugreifen oder sie manipulieren.

    Beschreibung: Ein Problem in Safari ermöglicht es, dass Inhalte, die über HTTP bereitgestellt werden, auf Inhalte, die über dieselbe Domain per HTTPS bereitgestellt werden, zugreifen und diese ändern können. Indem ein Benutzer dazu verleitet wird, eine in böser Absicht erstellte Website zu besuchen, kann ein Angreifer die Ausführung von JavaScript im Kontext von HTTPS-Websites bei dieser Domain verursachen. In diesem Update wird das Problem dadurch behoben, dass der JavaScript-Zugriff von HTTP- auf HTTPS-Frames verhindert wird. Wir danken Keigo Yamazaki von LAC Co., Ltd. (Little eArth Corporation Co., Ltd.) für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2007-4698

    Verfügbar für: Windows XP oder Vista

    Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann siteübergreifendes Skripting ermöglichen.

    Beschreibung: Safari ermöglicht es, dass JavaScript-Ereignisse mit dem falschen Frame verbunden werden. Indem ein Benutzer dazu verleitet wird, eine in böser Absicht erstellte Website zu besuchen, kann ein Angreifer die Ausführung von JavaScript im Kontext einer anderen Website verursachen. Mit dieser Aktualisierung wird das Problem behoben, indem JavaScript-Ereignisse mit dem korrekten Quell-Frame verbunden werden.

  • WebKit

    CVE-ID: CVE-2007-4812

    Verfügbar für: Windows XP oder Vista

    Auswirkung: Das Aufrufen einer in böser Absicht bereitgestellten Website kann zur Ausführung willkürlichen Codes führen.

    Beschreibung: Bei der Handhabung der Statusleiste in Safari existiert ein Pufferüberlauf. Indem ein Benutzer zum Besuch einer in böser Absicht erstellten Website verleitet wird, kann ein Angreifer eine willkürliche Code-Ausführung auslösen. Mit diesem Update wird das Problem durch die Neuimplementierung der Statusleistenhandhabung behoben.

Zuletzt geändert: 04.10.2008
  • Last Modified: 04.10.2008
  • Article: TA25078
  • Views:

    535

Zusätzliche Supportinformationen zum Produkt