Om sikkerhedsindholdet i Safari 5.0.2 og Safari 4.1.2

I dette dokument beskrives sikkerhedsindholdet i Safari 5.0.2 og Safari 4.1.2.

Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.

Hvor det er muligt, bruges der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

Safari 5.0.2 og Safari 4.1.2

• Safari

  CVE-ID: CVE-2010-1805

  Fås til: Windows 7, Vista, XP SP2 eller en nyere version

  Effekt: Åbning af et arkiv i et bibliotek, som andre brugere har skrivetilladelse til, kan medføre kørsel af vilkårlig kode

  Beskrivelse: Der er et problem med søgestier i Safari. Ved visning af et downloadet arkivs placering starter Safari Windows Stifinder uden at specificere hele stinavnet til det eksekverbare. Hvis Safari startes ved at åbne et arkiv i et specifikt bibliotek, inkluderes det bibliotek i søgestien. Forsøg på at afsløre et downloadet arkivs placering kan medføre kørsel af et program, som er indeholdt i det pågældende bibliotek, hvilket kan medføre kørsel af vilkårlig kode. Problemet løses ved at bruge en eksplicit søgesti, når Windows Stifinder startes. Problemet berører ikke Mac OS X-systemer. Tak til Simon Raner fra ACROS Security, der har rapporteret problemet.

• WebKit

  CVE-ID: CVE-2010-1807

  Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller en nyere version, Mac OS X Server v10.6.2 eller en nyere version, Windows 7, Vista, XP SP2 eller en nyere version

  Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode

  Beskrivelse: Der findes et problem med validering af input i WebKits håndtering af datatyper for flydende tal. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet løses ved forbedret validering af flydende talværdier. Vi vil gerne takke Luke Wagner fra Mozilla, som har rapporteret problemet.

• WebKit

  CVE-ID: CVE-2010-1806

  Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller en nyere version, Mac OS X Server v10.6.2 eller en nyere version, Windows 7, Vista, XP SP2 eller en nyere version

  Effekt: Besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode

  Beskrivelse: Der er et problem med use-after-free i WebKits håndtering af elementer med run-in-formatering. Et besøg på et skadeligt websted kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet løses ved forbedret håndtering af objektpointere. Tak til wushi fra team509, som samarbejder med TippingPoints Zero Day Initiative for at rapportere problemet.