Om sikkerhedsindholdet i Safari 3.2
I dette dokument beskrives sikkerhedsindholdet i Safari 3.2.
Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.
Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i "Sådan bruges PGP-nøglen til Apple Produktsikkerhed".
Hvor det er muligt, bruges der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.
Du kan læse mere om andre sikkerhedsopdateringer i "Apple-sikkerhedsopdateringer".
Safari 3.2
Safari
CVE-ID: CVE-2005-2096
Fås til: Windows XP eller Vista
Effekt: Flere sårbarheder i zlib 1.2.2
Beskrivelse: Der findes flere sårbarheder i zlib 1.2.2, hvoraf den mest alvorlige kan medføre DoS (Denial of Service). Denne opdatering løser problemerne ved at opdatere til zlib 1.2.3. Disse problemer påvirker ikke Mac OS X-systemer. Tak til Robbie Joosten fra bioinformatics@school og David Gunnells fra University of Alabama i Birmingham, som har rapporteret disse problemer.
Safari
CVE-ID: CVE-2008-1767
Fås til: Windows XP eller Vista
Effekt: Behandling af et XML-dokument kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der findes et problem med heap-bufferoverløb i libxslt-biblioteket. Visning af en skadelig HTML-side kan medføre pludselig applukning eller kørsel af vilkårlig kode. Du kan finde flere oplysninger om den anvendte programrettelse på http://xmlsoft.org/XSLT/ Dette problem påvirker ikke Mac OS X-systemer, der anvender Sikkerhedsopdatering 2008-007. Tak til Anthony de Almeida Lopes fra Outpost24 AB og Chris Evans fra Google Security Team, som har rapporteret dette problem.
Safari
CVE-ID: CVE-2008-3623
Fås til: Windows XP eller Vista
Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der findes et heap-bufferoverløb i CoreGraphics' håndtering af farveområder. Visning af et skadeligt billede kan medføre pludselig programlukning eller kørsel af vilkårlig kode. Denne opdatering løser problemet via forbedret kontrol af grænser. Tak til: Apple.
Safari
CVE-ID: CVE-2008-2327
Fås til: Windows XP eller Vista
Effekt: Visning af et skadeligt TIFF-billede kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der findes flere problemer med adgang til ikke-initialiseret hukommelse i libTIFFs håndtering af LZW-kodede TIFF-billeder. Visning af et skadeligt TIFF-billede kan medføre pludselig programlukning eller kørsel af vilkårlig kode. Denne opdatering løser problemet via korrekt hukommelsesinitialisering og yderligere validering af TIFF-billeder. Dette problem er løst i systemer med Mac OS X 10.5.5 eller nyere og i systemer med Mac OS X 10.4.11, der anvender Sikkerhedsopdatering 2008-006. Tak til: Apple.
Safari
CVE-ID: CVE-2008-2332
Fås til: Windows XP eller Vista
Effekt: Visning af et skadeligt TIFF-billede kan medføre pludselig applukning eller vilkårlig kørsel af kode
Beskrivelse: Der findes et problem med beskadiget hukommelse i ImageIOs håndtering af TIFF-billeder. Visning af et skadeligt TIFF-billede kan medføre pludselig programlukning eller kørsel af vilkårlig kode. Denne opdatering løser problemet via forbedret behandling af TIFF-billeder. Dette problem er løst i systemer med Mac OS X 10.5.5 eller nyere og i systemer med Mac OS X 10.4.11, der anvender Sikkerhedsopdatering 2008-006. Tak til Robert Swiecki fra Google Security Team, som har rapporteret problemet.
Safari
CVE-ID: CVE-2008-3608
Fås til: Windows XP eller Vista
Effekt: Visning af et skadeligt JPEG-billede kan medføre pludselig applukning eller vilkårlig kørsel af kode
Beskrivelse: Der findes et problem med beskadiget hukommelse i ImageIOs håndtering af indlejrede ICC-profiler i JPEG-billeder. Visning af et stort skadeligt JPEG-billede kan medføre pludselig programlukning eller kørsel af vilkårlig kode. Denne opdatering løser problemet via forbedret behandling af ICC-profiler. Dette problem er løst i systemer med Mac OS X 10.5.5 eller nyere og i systemer med Mac OS X 10.4.11, der anvender Sikkerhedsopdatering 2008-006. Tak til: Apple.
Safari
CVE-ID: CVE-2008-3642
Fås til: Windows XP eller Vista
Effekt: Visning af et skadeligt billede kan medføre pludselig applukning eller vilkårlig kørsel af kode
Beskrivelse: Der findes et bufferoverløb i håndteringen af billeder med en indlejret ICC-profil. Åbning af et skadeligt billede med en indlejret ICC-profil kan medføre pludselig applukning eller kørsel af vilkårlig kode. Denne opdatering løser problemet ved at udføre yderligere validering af ICC-profiler i billeder. Dette problem påvirker ikke Mac OS X-systemer, der anvender Sikkerhedsopdatering 2008-007. Tak til: Apple.
Safari
CVE-ID: CVE-2008-3644
Fås til: Mac OS X 10.4.11, Mac OS X 10.5.5, Windows XP eller Vista
Effekt: Følsomme oplysninger kan afsløres til en lokal konsolbruger
Beskrivelse: Deaktivering af automatisk udfyldelse i et formularfelt forhindrer muligvis ikke, at dataene i feltet lagres i browsersidens cache. Dette kan medføre afsløring af følsomme oplysninger til en lokal bruger. Denne opdatering løser problemet ved at rydde formulardataene korrekt. Tak til en anonym programmør, som har rapporteret dette problem.
WebKit
CVE-ID: CVE-2008-2303
Fås til: Mac OS X 10.4.11, Mac OS X 10.5.5, Windows XP eller Vista
Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode
Beskrivelse: Et problem med fortegn i Safaris håndtering af array-indekser i JavaScript kan muligvis føre til out-of-bounds-hukommelsesadgang. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Denne opdatering løser problemet ved at foretage yderligere validering af array-indekser i JavaScript. Tak til SkyLined fra Google, som har rapporteret problemet.
WebKit
CVE-ID: CVE-2008-2317
Fås til: Mac OS X 10.4.11, Mac OS X 10.5.5, Windows XP eller Vista
Effekt: Besøg på et skadeligt websted kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode
Beskrivelse: Der findes et problem med beskadiget hukommelse i WebCores håndtering af formatarkelementer. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Denne opdatering løser problemet via forbedret spildopsamling. Tak til en anonym programmør, der arbejder med TippingPoints Zero Day Initiative, som har rapporteret problemet.
WebKit
CVE-ID: CVE-2008-4216
Fås til: Mac OS X 10.4.11, Mac OS X 10.5.5, Windows XP or Vista
Effekt: Besøg på et skadeligt websted kan medføre afsløring af følsomme oplysninger
Beskrivelse: Grænsefladen for tilbehør i WebKit forhindrer ikke tilbehør i at åbne lokale Url-adresser. Besøg på et skadeligt websted kan muligvis tillade, at en ekstern hacker åbner lokale arkiver i Safari, hvilket kan medføre afsløring af følsomme oplysninger. Denne opdatering løser problemet ved at begrænse, hvilke typer URL-adresser der kan åbnes via grænsefladen for tilbehør. Tak til Billy Rios fra Microsoft og Nitesh Dhanjani fra Ernst & Young, som har rapporteret problemet.
Vigtigt: Omtale af tredjepartswebsteder og -produkter er kun til orientering og udgør hverken en godkendelse eller en anbefaling. Apple påtager sig intet ansvar med hensyn til udvælgelse, ydeevne eller brug af oplysninger eller produkter, der findes på tredjepartswebsteder. Apple leverer kun dette som en bekvemmelighed for vores brugere. Apple har ikke testet de oplysninger, der findes på disse websteder, og fremsætter ingen erklæringer om deres nøjagtighed eller pålidelighed. Der er risici forbundet med brugen af oplysninger eller produkter, der findes på internettet, og Apple påtager sig intet ansvar i denne henseende. Vær opmærksom på, at et tredjepartswebsted er uafhængigt af Apple, og at Apple ikke har kontrol over indholdet på det pågældende websted. Kontakt producenten for at få yderligere oplysninger.