Safari 4.0.4
-
ColorSync
CVE-ID: CVE-2009-2804
Tilgængelig til: Windows 7, Vista og XP
Resultat: Visning af et skadeligt tilpasset billede med en integreret farveprofil, kan føre til programnedbrud eller vilkårlig kørsel af kode.
Beskrivelse: Der opstår heltalsoverløb under håndtering af billeder med en integreret farveprofil, hvilket kan medføre et stakbufferoverløb. Åbning af et skadeligt tilpasset billede med en integreret farveprofil kan føre til uventet programnedbrud eller vilkårlig kørsel af kode. Problemet behandles ved at foretage yderligere validering af farveprofiler. Dette problem påvirker ikke Mac OS X v10.6-systemer. Problemet er allerede behandlet i Security Update 2009-005 til Mac OS X 10.5.8-systemer. Kildeangivelse: Apple.
-
libxml
CVE-ID: CVE-2009-2414, CVE-2009-2416
Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Windows 7, Vista, XP
Resultat: Behandling af skadeligt XML-indhold kan medføre et uventet programnedbrud.
Beskrivelse: Der er flere problemer med use-after-free i libxml2. De alvorligste kan føre til et uventet programnedbrud. Denne opdatering løser problemerne ved hjælp af en forbedret håndtering af hukommelsen. Problemerne er allerede blevet korrigeret i Mac OS X 10.6.2 og i Security Update 2009-006 til Mac OS X 10.5.8 systemer.
-
Safari
CVE-ID: CVE-2009-2842
Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 og v10.6.2, Mac OS X Server v10.6.1 og v10.6.2, Windows 7, Vista og XP
Resultat: Brug af genvejsmenuindstillingerne på et skadeligt websted kan føre til afsløring af lokale oplysninger.
Beskrivelse: Der er et problem med Safaris håndtering af navigationer, som er indledt via genvejsmenuindstillingerne "Åbn billede i ny fane", "Åbn billede i nyt vindue" eller "Åbn henvisning i ny fane". Brug af disse indstillinger på et skadeligt websted kan indlæse en lokal HTML-fil, som kan føre til afsløring af følsomme oplysninger. Problemet behandles ved at deaktivere de angivne indstillinger for genvejsmenuer, når målet for en henvisning er en lokal fil.
-
WebKit
CVE-ID: CVE-2009-2816
Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 og v10.6.2, Mac OS X Server v10.6.1 og v10.6.2, Windows 7, Vista og XP
Resultat: Besøg på et skadeligt websted kan resultere i uventede handlinger på andre websteder.
Beskrivelse: Der er et problem i WebKits implementering af Cross-Origin Resource Sharing. Før du tillader en side fra én kilde adgang til en ressource i en anden kilde, sender WebKit en preflight-anmodning til sidstnævnte server om adgang til ressourcen. WebKit indeholder specielle HTTP-sidehoveder, som er specificeret af anmodningssiden i preflight-anmodningen. Dette kan muliggøre falskneri på tværs af webstedet. Problemet afhjælpes ved at fjerne specielle HTTP-sidehoveder fra preflight-anmodninger. Kildeangivelse: Apple.
-
WebKit
CVE-ID: CVE-2009-3384
Tilgængelig til: Windows 7, Vista og XP
Resultat: Adgang til en skadelig FTP-server kan føre til uventet programnedbrud, afsløring af oplysninger eller vilkårlig kørsel af kode.
Beskrivelse: Der findes flere sårbarheder i WebKits håndtering af FTP-bibliotekslister. Adgang til en skadelig FTP-server kan føre til uventet programnedbrud, afsløring af oplysninger eller vilkårlig kørsel af kode. Denne opdatering behandler problemerne ved hjælp af forbedret behandling af FTP-bibliotekslister. Disse problemer påvirker ikke Safari på Mac OS X-systemer. Tak til Michal Zalewski fra Google Inc., som har rapporteret disse problemer.
-
WebKit
CVE-ID: CVE-2009-2841
Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 og v10.6.2, Mac OS X Server v10.6.1 og v10.6.2
Resultat: Mail indlæser muligvis fjernlyd- og videoindhold, når fjernindlæsning af billede er deaktiveret.
Beskrivelse: Når WebKit støder på et HTML 5-medieelement, som peger på en ekstern ressource, udsteder det ikke en tilbagekaldelse af ressourceindlæsning for at bestemme, om ressourcen skal indlæses. Dette kan resultere i uønskede anmodninger til fjernservere. Afsenderen af en HTML-formateret e-postmeddelelse kan f.eks. bruge dette til at finde ud af, om meddelelsen blev læst. Problemet behandles ved at generere tilbagekald af ressourceindlæsning, når WebKit støder på et HTML 5-medieelement. Problemet påvirker ikke Safari på Windows-systemer.