Om sikkerhedsindholdet i Safari 4.0.5

I dette dokument beskrives sikkerhedsindholdet i Safari 4.0.5.

Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i artiklen Sådan bruges PGP-nøglen til Apple Produktsikkerhed.

Hvor det er muligt, bruges der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen "Apple-sikkerhedsopdateringer."

Safari 4.0.5

  • ColorSync

    CVE-id: CVE-2010-0040

    Fås til: Windows 7, Vista, XP

    Effekt: Visning af et skadeligt billede med en integreret farveprofil kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der findes et heltalsoverløb, som kan medføre et heap-bufferoverløb, i behandlingen af billeder med en indlejret billedprofil. Åbning af et skadeligt billede med en integreret farveprofil kan medføre pludselig applukning eller kørsel af vilkårlig kode. Dette problem er løst ved at udføre yderligere validering af farveprofiler. Problemet berører ikke Mac OS X-systemer. Tak til Sebastien Renaud fra VUPEN Vulnerability Research Team, som har rapporteret problemet.

  • ImageIO

    CVE-id: CVE-2009-2285

    Fås til: Windows 7, Vista, XP

    Effekt: Visning af et skadeligt TIFF-billede kan medføre pludselig applukning eller vilkårlig kørsel af kode

    Beskrivelse: Der findes et problem med bufferunderløb i behandlingen af TIFF-billeder i ImageIO. Visning af et skadeligt TIFF-billede kan medføre pludselig programlukning eller kørsel af vilkårlig kode. Problemet er løst via forbedret kontrol af grænser. For systemer med Mac OS X v10.6 er problemet løst i Mac OS X v10.6.2. For systemer med Mac OS X v10.5 er problemet løst i Sikkerhedsopdatering 2010-001.

  • ImageIO

    CVE-id: CVE-2010-0041

    Fås til: Windows 7, Vista, XP

    Effekt: Besøg på et skadelig websted kan medføre, at der sendes data fra Safaris hukommelse til webstedet

    Beskrivelse: Der findes et problem med ikke-initialiseret adgang til hukommelse i BMP-billedbehandlingen i ImageIO. Besøg på et skadeligt websted kan medføre, at der sendes data fra Safaris hukommelse til webstedet. Problemet er løst ved forbedret behandling af hukommelse og yderligere godkendelse af BMP-billeder. Tak til Matthew 'j00ru' Jurczyk fra Hispasec, som har rapporteret problemet.

  • ImageIO

    CVE-id: CVE-2010-0042

    Fås til: Windows 7, Vista, XP

    Effekt: Besøg på et skadelig websted kan medføre, at der sendes data fra Safaris hukommelse til webstedet

    Beskrivelse: Der findes et problem med ikke-initialiseret adgang til hukommelse i TIFF-billedbehandlingen i ImageIO. Besøg på et skadeligt websted kan medføre, at der sendes data fra Safaris hukommelse til webstedet. Problemet er løst ved forbedret behandling af hukommelse og yderligere godkendelse af TIFF-billeder. Tak til Matthew 'j00ru' Jurczyk fra Hispasec, som har rapporteret problemet.

  • ImageIO

    CVE-id: CVE-2010-0043

    Fås til: Windows 7, Vista, XP

    Effekt: Behandling af et skadeligt TIFF-billede kan medføre pludselig applukning eller vilkårlig kørsel af kode

    Beskrivelse: Der findes et problem med beskadiget hukommelse i behandlingen af TIFF-billeder. Behandling af et skadeligt TIFF-billede kan medføre pludselig programlukning eller kørsel af vilkårlig kode. Problemet er løst ved forbedret behandling af hukommelsen. Tak til Gus Mueller fra Flying Meat, som har rapporteret problemet.

  • PubSub

    CVE-id: CVE-2010-0044

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 eller en nyere version, Mac OS X Server v10.6.1 eller en nyere version, Windows 7, Vista, XP

    Effekt: Visning eller opdatering af et feed kan medføre, at en cookie indstilles, selvom Safari er konfigureret til at blokere cookies

    Beskrivelse: Der findes et implementeringsproblem i behandlingen af de cookies, der indstilles af RSS- og Atom-feeds. Visning eller opdatering af et feed kan medføre, at en cookie indstilles, selvom Safari er konfigureret til at blokere cookies via indstillingen "Accepter cookies". Denne opdatering løser problemet, ved at indstillingen følges, mens feeds opdateres eller vises.

  • Safari

    CVE-id: CVE-2010-0045

    Fås til: Windows 7, Vista, XP

    Effekt: Besøg på et skadeligt websted kan medføre kørsel af vilkårlig kode

    Beskrivelse: Et problem i behandlingen af eksterne URL-skemaer i Safari kan medføre, at et lokalt arkiv åbnes som følge af en URL-adresse på en webside. Et besøg på et skadeligt websted kan medføre kørsel af vilkårlig kode. Denne opdatering løser problemet via en forbedret validering af eksterne URL-adresser. Problemet berører ikke Mac OS X-systemer. Tak til Billy Rios fra Microsoft Vulnerability Research (MSVR), som har rapporteret disse problemer.

  • WebKit

    CVE-id: CVE-2010-0046

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 eller en nyere version, Mac OS X Server v10.6.1 eller en nyere version, Windows 7, Vista, XP

    Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der findes et problem med beskadiget hukommelse i behandlingen af CSS-argumenter af typen format() i WebKit. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet er løst ved forbedret behandling af CSS-argumenter af typen format(). Tak til Robert Swiecki fra Google Inc., som har rapporteret problemet.

  • WebKit

    CVE-id: CVE-2010-0047

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 eller en nyere version, Mac OS X Server v10.6.1 eller en nyere version, Windows 7, Vista, XP

    Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der findes et use-after-free-problem i behandlingen af alternativt indhold til HTML-objektelementer. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet er løst ved forbedret sporing af hukommelsesreference. Tak til wushi fra team509, som samarbejder med TippingPoints Zero Day Initiative, som har rapporteret problemet.

  • WebKit

    CVE-id: CVE-2010-0048

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 eller en nyere version, Mac OS X Server v10.6.1 eller en nyere version, Windows 7, Vista, XP

    Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der findes et use-after-free-problem i parsing af XML-dokumenter i WebKit. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet er løst ved forbedret sporing af hukommelsesreference. Tak til wushi fra team509, som samarbejder med TippingPoints Zero Day Initiative, som har rapporteret problemet.

  • WebKit

    CVE-id: CVE-2010-0049

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 eller en nyere version, Mac OS X Server v10.6.1 eller en nyere version, Windows 7, Vista, XP

    Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der findes et use-after-free-problem i behandlingen af HTML-elementer med tekst med læseretning fra højre mod venstre. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet er løst ved forbedret sporing af hukommelsesreference. Tak til wushi fra team509, som samarbejder med TippingPoints Zero Day Initiative for at rapportere problemet.

  • WebKit

    CVE-id: CVE-2010-0050

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 eller en nyere version, Mac OS X Server v10.6.1 eller en nyere version, Windows 7, Vista, XP

    Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der findes et use-after-free-problem i behandlingen af forkert indlejrede HTML-tags i WebKit. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet er løst ved forbedret sporing af hukommelsesreference. Tak til wushi fra team509, som samarbejder med TippingPoints Zero Day Initiative for at rapportere problemet.

  • WebKit

    CVE-id: CVE-2010-0051

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 eller en nyere version, Mac OS X Server v10.6.1 eller en nyere version, Windows 7, Vista, XP

    Effekt: Besøg på et skadeligt websted kan medføre afsløring af følsomme oplysninger

    Beskrivelse: Der findes et implementeringsproblem i behandlingen af anmodninger om stylesheet på tværs af domæner i WebKit. Besøg på et skadeligt websted kan afsløre indholdet af beskyttede ressourcer på et andet websted. Denne opdatering løser problemet ved at udføre en ekstra validering af de stylesheets, som indlæses i løbet af en anmodning på tværs af domæner.

  • WebKit

    CVE-id: CVE-2010-0052

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 eller en nyere version, Mac OS X Server v10.6.1 eller en nyere version, Windows 7, Vista, XP

    Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der findes et use-after-free-problem i behandlingen af callbacks af HTML-elementer i WebKit. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet er løst ved forbedret sporing af hukommelsesreference. Tak til: Apple.

  • WebKit

    CVE-id: CVE-2010-0053

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 eller en nyere version, Mac OS X Server v10.6.1 eller en nyere version, Windows 7, Vista, XP

    Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der findes et use-after-free-problem i gengivelsen af indhold med en CSS-visningsegenskab indstillet til 'run-in'. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet er løst ved forbedret sporing af hukommelsesreference. Tak til wushi fra team509, som samarbejder med TippingPoints Zero Day Initiative for at rapportere problemet.

  • WebKit

    CVE-id: CVE-2010-0054

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 eller en nyere version, Mac OS X Server v10.6.1 eller en nyere version, Windows 7, Vista, XP

    Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der findes et use-after-free-problem i behandlingen af HTML-billedelementer i WebKit. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet er løst ved forbedret sporing af hukommelsesreference. Tak til: Apple.

Vigtigt: Oplysninger om produkter, der ikke er fremstillet af Apple, gives kun til orientering og udgør ikke Apples anbefaling eller godkendelse. Kontakt producenten for at få yderligere oplysninger.

Udgivelsesdato: