Denne artikel er blevet arkiveret og opdateres ikke længere af Apple.

Om sikkerhedsindholdet i Safari 4.0.4.

I dette dokument beskrives sikkerhedsindholdet i Safari 4.0.4.

Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i artiklen Sådan bruges PGP-nøglen til Apple Produktsikkerhed.

Hvor det er muligt, bruges der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen "Apple-sikkerhedsopdateringer."

Safari 4.0.4

  • ColorSync

    CVE-id: CVE-2009-2804

    Fås til: Windows 7, Vista, XP

    Effekt: Visning af et skadeligt billede med en integreret farveprofil kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der findes et heltalsoverløb i behandlingen af billeder med en integreret farveprofil, hvilket kan føre til et heap-bufferoverløb. Åbning af et skadeligt billede med en integreret farveprofil kan medføre pludselig applukning eller kørsel af vilkårlig kode. Dette problem er løst ved at udføre yderligere validering af farveprofiler. Problemet berører ikke Mac OS X v10.6-systemer. Problemer er allerede blevet løst i Sikkerhedsopdatering 2009-005 til Mac OS X 10.5.8-systemer. Tak til: Apple.

  • libxml

    CVE-id: CVE-2009-2414, CVE-2009-2416

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Windows 7, Vista, XP

    Effekt: Parsing af skadeligt XML-indhold kan medføre pludselig applukning

    Beskrivelse: Der findes flere use-after-free-problemer i libxml2, hvor det mest alvorlige problem kan medføre pludselig applukning. Denne opdatering løser problemerne via forbedret hukommelsesbehandling. Problemerne er allerede blevet løst i Mac OS X 10.6.2 og i Sikkerhedsopdatering 2009-006 til Mac OS X 10.5.8-systemerne.

  • Safari

    CVE-id: CVE-2009-2842

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 and v10.6.2, Mac OS X Server v10.6.1 og v10.6.2, Windows 7, Vista, XP

    Effekt: Brug af genvejsmenupunkter på et skadeligt websted kan medføre afsløring af lokale oplysninger

    Beskrivelse: Der findes et problem med Safaris behandling af navigationer, der startes via genvejsmenupunkterne "Åbn billede i ny fane", "Åbn billede i nyt vindue" eller "Åbn link i ny fane" Brug af disse menupunkter på et skadeligt websted kan indlæse et lokalt HTML-arkiv, hvilket kan medføre afsløring af følsomme oplysninger. Problemet er blevet løst, ved at de angivne genvejsmenupunkter deaktiveres, når målet for et link er et lokalt arkiv.

  • WebKit

    CVE-id: CVE-2009-2816

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 og v10.6.2, Mac OS X Server v10.6.1 og v10.6.2, Windows 7, Vista, XP

    Effekt: Besøg på et skadeligt websted kan medføre uventede handlinger på andre websteder

    Beskrivelse: Der findes et problem i WebKits implementering af Cross-Origin Resource Sharing. Inden WebKit giver en side fra et domæne adgang til ressourcer på et andet domæne, sender WebKit en preflight-anmodning til det andet domæne om adgang til ressourcen. WebKit inkluderer tilpassede HTTP-headere, der er angivet af den anmodende side i preflight-anmodningen. Dette kan afhjælpe forfalskning af anmodninger på tværs af websteder. Dette problem er blevet løst ved at fjerne tilpassede HTTP-headere fra preflight-anmodninger. Tak til: Apple.

  • WebKit

    CVE-id: CVE-2009-3384

    Fås til: Windows 7, Vista, XP

    Effekt: Adgang til en skadelig FTP-server kan medføre pludselig applukning, afsløring af oplysninger eller kørsel af vilkårlig kode

    Beskrivelse: Der findes flere sårbarheder i WebKits behandling af FTP-mappeoversigter. Adgang til en skadelig FTP-server kan medføre afsløring af oplysninger, pludselig applukning eller kørsel af vilkårlig kode. Denne opdatering løser problemerne via en forbedret parsing af FTP-mappeoversigter. Disse problemer berører ikke Safari på Mac OS X-systemer. Tak til Michal Zalewski fra Google Inc., som har rapporteret problemerne.

  • WebKit

    CVE-id: CVE-2009-2841

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 og v10.6.2, Mac OS X Server v10.6.1 og v10.6.2

    Effekt: Mail kan indlæse fjernindhold med lyd og video, når indlæsning af fjernbilleder er deaktiveret

    Beskrivelse: Når WebKit støder på et HTML 5-medieelement, der peger på en ekstern ressource, sender det ikke en callback om indlæsning af en ressource for at fastslå, om ressourcen skal indlæses. Dette kan medføre, at der sendes uønskede anmodninger til fjernservere. Afsenderen af en HTML-formateret e-mail kan f.eks. bruge dette til at fastslå, om meddelelsen blev læst. Dette problem er blevet løst ved at generere callbacks om indlæsning af ressourcer, når WebKit støder på et HTML 5-medieelement. Problemet berører ikke Safari på Windows-systemer.

Vigtigt: Oplysninger om produkter, der ikke er fremstillet af Apple, gives kun til orientering og udgør ikke Apples anbefaling eller godkendelse. Kontakt producenten for at få yderligere oplysninger.

Udgivelsesdato: