Om sikkerhedsindholdet i Safari 5.0.1 og Safari 4.1.1

I dette dokument beskrives sikkerhedsindholdet i Safari 5.0.1 og Safari 4.1.1.

Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i artiklen Sådan bruges PGP-nøglen til Apple Produktsikkerhed.

Hvor det er muligt, bruges der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apples sikkerhedsopdateringer.

Safari 5.0.1 og Safari 4.1.1

  • Safari

    • CVE-ID: CVE-2010-1778

    • Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    • Effekt: Adgang til et skadeligt RSS-feed kan medføre, at filer fra brugerens system sendes til en ekstern server

    • Beskrivelse: Der var et problem med scripting på tværs af websteder i Safaris håndtering af RSS-feeds. Adgang til et skadeligt RSS-feed kan medføre, at filer fra brugerens system sendes til en ekstern server. Problemet løses ved forbedret håndtering af RSS-feeds. Tak til Billy Rios fra Google Security Team, som har rapporteret problemet.

  • Safari

    • CVE-ID: CVE-2010-1796

    • Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    • Effekt: Safaris Autoudfyld-funktion kan videregive oplysninger til websteder uden brugerinteraktion

    • Beskrivelse: Safaris Autoudfyld-funktion kan automatisk udfylde webformularer med oplysninger, der er angivet i din Mac OS X-adressebog, i Outlook eller i din Windows-adressebog. Autoudfyld-funktionen kræver som udgangspunkt en handling fra brugeren for at fungere i en webformular. Der findes et implementeringsproblem, der gør det muligt for et skadeligt websted at starte Autoudfyld uden brugerinteraktion. Dette kan medføre afsløring af oplysninger, som findes i brugerens adressebogskort. Problemet kan kun udløses, hvis følgende to forhold er til stede. For det første skal der i Indstillinger i Safari, under Autoudfyld, være valgt "Autoudfyld webformularer med oplysninger fra Adressebog". For det andet skal brugerens Adressebog have et kort, der er angivet som "Mit kort". Kun oplysninger, der findes på det specifikke kort, kan tilgås via Autoudfyld. Problemet løses ved at forbyde, at Autoudfyld kan bruge oplysninger uden brugerinteraktion. Enheder, der kører iOS, er ikke berørt. Tak til Jeremiah Grossman fra WhiteHat Security, som har rapporteret problemet.

  • WebKit

    • CVE-ID: CVE-2010-1780

    • Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    • Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    • Beskrivelse: Der er et problem med use-after-free i WebKits håndtering af elementfokus. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet løses ved forbedret håndtering af elementfokus. Tak til Tony Chang fra Google Inc., som har rapporteret problemet.

  • WebKit

    • CVE-ID: CVE-2010-1782

    • Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    • Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    • Beskrivelse: Der findes et problem med beskadiget hukommelse i WebKits gengivelse af integrerede elementer. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet er løst via forbedret kontrol af grænser. Tak til wushi fra team509, som har rapporteret problemet.

  • WebKit

    • CVE-ID: CVE-2010-1783

    • Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    • Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    • Beskrivelse: Der findes et problem med beskadiget hukommelse i WebKits håndtering af dynamiske ændringer af tekstnoder. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet er løst ved forbedret hukommelseshåndtering.

  • WebKit

    • CVE-ID: CVE-2010-1784

    • Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    • Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    • Beskrivelse: Der findes et problem med beskadiget hukommelse i WebKits håndtering af CSS-tællere. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet er løst ved forbedret hukommelseshåndtering. Tak til wushi fra team509, som samarbejder med TippingPoints Zero Day Initiative for at rapportere problemet.

  • WebKit

    • CVE-ID: CVE-2010-1785

    • Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    • Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    • Beskrivelse: Der er et problem med ikke-initialiseret hukommelsesadgang i WebKits håndtering af pseudoelementerne :first-letter og :first-line i SVG-tekstelementer. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet løses ved ikke at gengive pseudoelementerne :first-letter og :first-line i SVG-tekstelementer. Tak til wushi fra team509, som samarbejder med TippingPoints Zero Day Initiative for at rapportere problemet.

  • WebKit

    • CVE-ID: CVE-2010-1786

    • Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    • Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    • Beskrivelse: Der er et problem med use-after-free i WebKits håndtering af foreignObject-elementer i SVG-dokumenter. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet løses ved yderligere validering af SVG-dokumenter. Tak til wushi fra team509, som samarbejder med TippingPoints Zero Day Initiative for at rapportere problemet.

  • WebKit

    • CVE-ID: CVE-2010-1787

    • Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    • Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    • Beskrivelse: Der findes et problem med beskadiget hukommelse i WebKits håndtering af flydende elementer i SVG-dokumenter. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet er løst ved forbedret hukommelseshåndtering. Tak til wushi fra team509, som samarbejder med TippingPoints Zero Day Initiative for at rapportere problemet.

  • WebKit

    • CVE-ID: CVE-2010-1788

    • Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    • Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    • Beskrivelse: Der findes et problem med beskadiget hukommelse i WebKits håndtering af "use"-elementer i SVG-dokumenter. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet løses ved forbedret håndtering af "use"- elementer i SVG-dokumenter. Tak til Justin Schuh fra Google Inc., som har rapporteret problemet.

  • WebKit

    • CVE-ID: CVE-2010-1789

    • Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    • Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    • Beskrivelse: Der findes et problem med heap-bufferoverløb i WebKits håndtering af JavaScript-strengobjekter. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet er løst via forbedret kontrol af grænser. Tak til: Apple.

  • WebKit

    • CVE-ID: CVE-2010-1790

    • Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    • Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    • Beskrivelse: Der findes et problem med reentrancy i WebKits håndtering af just-in-time-kompilerede JavaScript-stubs. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet løses ved forbedret synkronisering.

  • WebKit

    • CVE-ID: CVE-2010-1791

    • Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    • Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    • Beskrivelse: Der findes et signedness-problem i WebKits håndtering af JavaScript-arrays. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet løses ved forbedret håndtering af array-indekser i JavaScript. Tak til Natalie Silvanovich, som har rapporteret problemet.

  • WebKit

    • CVE-ID: CVE-2010-1792

    • Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    • Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    • Beskrivelse: Der findes et problem med beskadiget hukommelse i WebKits håndtering af regulære udtryk. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet løses ved forbedret håndtering af regulære udtryk. Tak til Peter Varga fra University of Szeged, som har rapporteret problemet.

  • WebKit

    • CVE-ID: CVE-2010-1793

    • Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere, Windows 7, Vista, XP SP2 eller nyere

    • Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    • Beskrivelse: Der er et problem med use-after-free i WebKits håndtering af "font-face"- og "use"-elementer i SVG-dokumenter. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet løses ved forbedret håndtering af "font-face"- og "use"-elementer i SVG-dokumenter. Tak til Aki Helin fra OUSPG, som har rapporteret problemet.

Vigtigt: Omtale af tredjepartswebsteder og -produkter er kun til orientering og udgør hverken en godkendelse eller en anbefaling. Apple påtager sig intet ansvar med hensyn til udvælgelse, ydeevne eller brug af oplysninger eller produkter, der findes på tredjepartswebsteder. Apple leverer kun dette som en bekvemmelighed for vores brugere. Apple har ikke testet de oplysninger, der findes på disse websteder, og fremsætter ingen erklæringer om deres nøjagtighed eller pålidelighed. Der er risici forbundet med brugen af oplysninger eller produkter, der findes på internettet, og Apple påtager sig intet ansvar i denne henseende. Vær opmærksom på, at et tredjepartswebsted er uafhængigt af Apple, og at Apple ikke har kontrol over indholdet på det pågældende websted. Kontakt producenten for at få yderligere oplysninger.

Udgivelsesdato: