Om sikkerhedsindholdet i Safari 4.0.3

Dette dokument beskriver sikkerhedsindholdet i Safari 4.0.3.

Med henblik på beskyttelse af vore kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple Produktsikkerhed, kan du besøge webstedet Apple Produktsikkerhed.

Gå til "Sådan bruges PGP-nøglen til Apple Produktsikkerhed" for at få oplysninger om PGP-nøglen til Apple Produktsikkerhed.

Hvor det er muligt, anvendes CVE-id'er til at angive sikkerhedshullerne for yderligere oplysninger.

Gå til "Apple Sikkerhedsopdateringer", hvis du vil læse om andre sikkerhedsopdateringer.

Safari 4.0.3

  • CoreGraphics

    CVE-ID: CVE-2009-2468

    Fås til: Windows XP og Vista

    Resultat: Et besøg på et skadeligt websted kan føre til uventet programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Et stack-baseret bufferoverløb findes i tegningen af lange tekststrenge. Et besøg på et skadeligt websted kan føre til uventet programnedbrud eller vilkårlig afvikling af kode. Denne opdatering løser problemet gennem forbedret kontrol af grænser. Tak til Will Drewry hos Google Inc, som har rapporteret dette problem.

  • ImageIO

    CVE-ID: CVE-2009-2188

    Fås til: Windows XP og Vista

    Resultat: Visning af et skadeligt tilpasset billede kan føre til uventet programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der sker bufferoverløb under håndteringen af EXIF-metadata. Visning af et skadeligt tilpasset billede kan føre til uventet programafslutning eller vilkårlig kørsel af kode. Denne opdatering løser problemet med en forbedret kontrol af bindinger.

  • Safari

    CVE-ID: CVE-2009-2196

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP og Vista

    Resultat: Et websted, der er skabt med ondsindet kode, kan være at finde på listen over Safaris topwebsteder

    Beskrivelse: Safari 4 introducerer funktionen Topwebsteder for at tilbyde brugere en hurtig visning af dennes foretrukne websteder. Det er muligt, at et websted med ondsindet kode kan skabe vilkårlige websteder på listen over topwebsteder via automatiserede handlinger. Denne fremgangsmåde kan benyttes til at igangsætte phishing-angreb. Dette problem behandles for at forhindre, at automatisede besøg på websteder har indvirkning på listen over topwebsteder. Kun websteder, som brugeren besøger manuelt, kan medtages på listen over topwebsteder. Bemærk, at Safari som standard registrerer bedrageriske websteder. Siden introduktionen af funktionen Topwebsteder, har listen over topwebsteder ikke indeholdt bedrageriske websteder. Tak til Inferno hos SecureThoughts.com, som har rapporteret dette problem..

  • WebKit

    CVE-ID: CVE-2009-2195

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP og Vista

    Effekt: Et besøg på et skadeligt websted kan føre til uventet programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der sker bufferoverløb under WebKits fortolkning af flydende punktværdier. Et besøg på et skadeligt websted kan føre til uventet programnedbrud eller vilkårlig afvikling af kode. Denne opdatering løser problemet gennem forbedret kontrol af grænser. Kildeangivelse: Apple

  • WebKit

    CVE-ID: CVE-2009-2200

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP og Vista

    Resultat: Når et websted med ondsindet kode besøges, og der klikkes på "Go" ved visning af en dialogboks med ondsindet plugin, kan det føre til offenliggørelse af følsomme oplysninger

    Beskrivelse: WebKit tillader attributen på plugin-siden på det 'integrerede' element til referencefilens URL'er. Hvis du klikker på "Go" i den dialogboks, som vises, når der henvises til en ukendt plugin-type, dirigeres du videre til den URL, som er angivet på plugin-sidens attribut. Dette kan føre til et fjernangreb, der lancerer fil-URL'er i Safari og medføre offentliggørelse af følsomme oplysninger. Denne opdatering behandler problemet ved at begrænse plugin-sidens URL-oversigt til http eller https. Tak til Alexios Fakos fra n.runs AG, som har rapporteret dette problem.

  • WebKit

    CVE-ID: CVE-2009-2199

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP og Vista

    Resultat: Gengangertegn i en URL kan bruges til at sløre et websted

    Beskrivelse: International Domain Name (IDN) support og Unicode-fonte integreret i Safari kan bruges til at oprette en URL, der indeholder ''genganger''-tegn. Disse kan blive brugt på et ondsindet websted til at dirigere brugeren til et svindel-site, der visuelt ser ud til at være et legitimt domæne. Denne opdatering behandler problemet ved at supplere WebKits liste ove kendte genganger-tegn. Genganger-tegn gengives i Punycode i adresselinjen. Tak til Chris Weber fra Casaba Security, LLC, som har rapporteret dette problem.

Udgivelsesdato: