Om sikkerhedsindholdet i Safari 4.0.4

Dette dokument beskriver sikkerhedsindholdet i Safari 4.0.4.

Med henblik på beskyttelse af vore kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple Produktsikkerhed, kan du besøge webstedet Apple Produktsikkerhed.

Gå til Sådan bruges PGP-nøglen til Apple Produktsikkerhed for at få oplysninger om PGP-nøglen til Apple Produktsikkerhed.

Hvor det er muligt, anvendes CVE-id'er til at referere til yderligere oplysninger om sikkerhedsproblemer.

Gå til Apple-sikkerhedsopdateringer, hvis du vil læse om andre sikkerhedsopdateringer.

Safari 4.0.4

  • ColorSync

    CVE-ID: CVE-2009-2804

    Tilgængelig til: Windows 7, Vista og XP

    Resultat: Visning af et skadeligt tilpasset billede med en integreret farveprofil, kan føre til programnedbrud eller vilkårlig kørsel af kode.

    Beskrivelse: Der opstår heltalsoverløb under håndtering af billeder med en integreret farveprofil, hvilket kan medføre et stakbufferoverløb. Åbning af et skadeligt tilpasset billede med en integreret farveprofil kan føre til uventet programnedbrud eller vilkårlig kørsel af kode. Problemet behandles ved at foretage yderligere validering af farveprofiler. Dette problem påvirker ikke Mac OS X v10.6-systemer. Problemet er allerede behandlet i Security Update 2009-005 til Mac OS X 10.5.8-systemer. Kildeangivelse: Apple.

  • libxml

    CVE-ID: CVE-2009-2414, CVE-2009-2416

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Windows 7, Vista, XP

    Resultat: Behandling af skadeligt XML-indhold kan medføre et uventet programnedbrud.

    Beskrivelse: Der er flere problemer med use-after-free i libxml2. De alvorligste kan føre til et uventet programnedbrud. Denne opdatering løser problemerne ved hjælp af en forbedret håndtering af hukommelsen. Problemerne er allerede blevet korrigeret i Mac OS X 10.6.2 og i Security Update 2009-006 til Mac OS X 10.5.8 systemer.

  • Safari

    CVE-ID: CVE-2009-2842

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 og v10.6.2, Mac OS X Server v10.6.1 og v10.6.2, Windows 7, Vista og XP

    Resultat: Brug af genvejsmenuindstillingerne på et skadeligt websted kan føre til afsløring af lokale oplysninger.

    Beskrivelse: Der er et problem med Safaris håndtering af navigationer, som er indledt via genvejsmenuindstillingerne "Åbn billede i ny fane", "Åbn billede i nyt vindue" eller "Åbn henvisning i ny fane". Brug af disse indstillinger på et skadeligt websted kan indlæse en lokal HTML-fil, som kan føre til afsløring af følsomme oplysninger. Problemet behandles ved at deaktivere de angivne indstillinger for genvejsmenuer, når målet for en henvisning er en lokal fil.

  • WebKit

    CVE-ID: CVE-2009-2816

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 og v10.6.2, Mac OS X Server v10.6.1 og v10.6.2, Windows 7, Vista og XP

    Resultat: Besøg på et skadeligt websted kan resultere i uventede handlinger på andre websteder.

    Beskrivelse: Der er et problem i WebKits implementering af Cross-Origin Resource Sharing. Før du tillader en side fra én kilde adgang til en ressource i en anden kilde, sender WebKit en preflight-anmodning til sidstnævnte server om adgang til ressourcen. WebKit indeholder specielle HTTP-sidehoveder, som er specificeret af anmodningssiden i preflight-anmodningen. Dette kan muliggøre falskneri på tværs af webstedet. Problemet afhjælpes ved at fjerne specielle HTTP-sidehoveder fra preflight-anmodninger. Kildeangivelse: Apple.

  • WebKit

    CVE-ID: CVE-2009-3384

    Tilgængelig til: Windows 7, Vista og XP

    Resultat: Adgang til en skadelig FTP-server kan føre til uventet programnedbrud, afsløring af oplysninger eller vilkårlig kørsel af kode.

    Beskrivelse: Der findes flere sårbarheder i WebKits håndtering af FTP-bibliotekslister. Adgang til en skadelig FTP-server kan føre til uventet programnedbrud, afsløring af oplysninger eller vilkårlig kørsel af kode. Denne opdatering behandler problemerne ved hjælp af forbedret behandling af FTP-bibliotekslister. Disse problemer påvirker ikke Safari på Mac OS X-systemer. Tak til Michal Zalewski fra Google Inc., som har rapporteret disse problemer.

  • WebKit

    CVE-ID: CVE-2009-2841

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 og v10.6.2, Mac OS X Server v10.6.1 og v10.6.2

    Resultat: Mail indlæser muligvis fjernlyd- og videoindhold, når fjernindlæsning af billede er deaktiveret.

    Beskrivelse: Når WebKit støder på et HTML 5-medieelement, som peger på en ekstern ressource, udsteder det ikke en tilbagekaldelse af ressourceindlæsning for at bestemme, om ressourcen skal indlæses. Dette kan resultere i uønskede anmodninger til fjernservere. Afsenderen af en HTML-formateret e-postmeddelelse kan f.eks. bruge dette til at finde ud af, om meddelelsen blev læst. Problemet behandles ved at generere tilbagekald af ressourceindlæsning, når WebKit støder på et HTML 5-medieelement. Problemet påvirker ikke Safari på Windows-systemer.

Udgivelsesdato: