Om sikkerhedsindholdet i Safari 5.0 og Safari 4.1

Dette dokument indeholder en beskrivelse af sikkerhedsindholdet i Safari 5.0 og Safari 4.1.

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple Produktsikkerhed, kan du besøge webstedet Apple Produktsikkerhed.

Gå til Sådan bruges PGP-nøglen til Apple Produktsikkerhed for at få oplysninger om PGP-nøglen til Apple Produktsikkerhed.

Hvor det er muligt, anvendes CVE-id'er til at referere til yderligere oplysninger om sikkerhedsproblemer.

Gå til "Apple Sikkerhedsopdateringer", hvis du vil læse om andre sikkerhedsopdateringer.

Safari 5.0

  • ColorSync

    CVE-ID: CVE-2009-1726

    Tilgængelig til: Windows 7, Vista, XP SP2 og nyere

    Effekt: Visning af et billede med skadelig kode med en integreret ColorSync-profil kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der sker bufferoverløb under håndteringen af billeder med en integreret ColorSync-profil. Åbning af et billede med skadelig kode med en integreret ColorSync-profil kan medføre programnedbrud eller vilkårlig kørsel af kode. Dette problem løses gennem forbedret godkendelse af ColorSync-profiler. Tak til Chris Evans fra Google Security Team og Andrzej Dyjak, som har rapporteret problemet.

  • ImageIO

    CVE-ID: CVE-2010-1411

    Tilgængelig til: Windows 7, Vista, XP SP2 og nyere

    Effekt: Åbning af et TIFF-arkiv med skadelig software kan føre til programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Flere heltalsoverløb ved håndtering af TIFF-arkiver kan medføre et bufferoverløb i stakken. Åbning af et TIFF-arkiv med skadelig software kan føre til programnedbrud eller vilkårlig kørsel af kode. Problemerne løses gennem forbedret kontrol af grænser. Tak til Kevin Finisterre fra digitalmunition.com, som har rapporteret disse problemer.

  • Safari

    CVE-ID: CVE-2010-1384

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Det er muligt at sløre en skadelig URL-adresse, så phishingangreb bliver mere effektive

    Beskrivelse: Safari understøtter medtagelse af brugeroplysninger i URL-adresser, så det bliver muligt for en URL-adresse at angive et brugernavn og en adgangskode til godkendelse af brugeren på den navngivne server. Disse URL-adresser bruges ofte til at forvirre brugerne og kan dermed understøtte potentielle phishing-angreb. Safari opdateres til at vise en advarsel, før der åbnes en HTTP- eller HTTPS-URL-adresse, som indeholder brugeroplysninger. Tak til Abhishek Arya fra Google, Inc., som har rapporteret problemet.

  • Safari

    CVE-ID: CVE-2010-1385

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et "use after free"-problem i Safaris håndtering af PDF-arkiver. Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode. Dette problem løses gennem forbedret håndtering af PDF-arkiver. Tak til Borja Marcos fra Sarenet, som har rapporteret problemet.

  • Safari

    CVE-ID: CVE-2010-1750

    Tilgængelig til: Windows 7, Vista og XP SP2 og nyere

    Effekt: Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et "use after free"-problem i Safaris administration af vinduer. Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode. Dette problem løses gennem forbedret administration af vinduer. Dette problem påvirker ikke Mac OS X-systemer.

  • WebKit

    CVE-ID: CVE-2010-1388

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere

    Effekt: Der videregives muligvis oplysninger, når du trækker eller indsætter links eller billeder

    Beskrivelse: Der er et implementeringsproblem i WebKits håndtering af URL-adresser i udklipsholderen. Når en bruger besøger et skadeligt websted og trækker eller indsætter links eller billeder, sendes der muligvis arkiver fra brugerens system til en fjernserver. Problemet løses gennem yderligere godkendelse af URL-adresser i udklipsholderen. Problemet påvirker ikke Windows-systemer. Tak til Eric Seidel fra Google Inc., som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1389

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Der er risiko for scriptingangreb på tværs af websteder, når du trækker eller indsætter et udsnit

    Beskrivelse: Når du trækker eller indsætter et udsnit fra et websted til et andet, er der risiko for, at scripts, der er indeholdt i udsnittet, køres på det nye websted. Problemet løses gennem yderligere godkendelse af indhold, før det indsættes eller trækkes og slippes. Tak til Paul Stone fra Context Information Security, som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1390

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Besøg på et websted, som anvender UTF-7-kodning, medfører risiko for scriptingangreb på tværs af websteder

    Beskrivelse: Der er et problem med kanoniske navne i WebKits håndtering af UTF-7-kodet tekst. En HTML-streng, som ikke afsluttes, medfører risiko for scripting-angreb på tværs af websteder eller andre problemer. Problemet løses ved at fjerne understøttelse af UTF-7-kodning i WebKit. Tak til Masahiro Yamada, som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1391

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Besøg på et skadeligt websted kan medføre oprettelse af arkiver på vilkårlige ikke-skrivebeskyttede placeringer

    Beskrivelse: Der er et problem med stigennemløbet i WebKits understøttelse af lokal lagringsplads og webbaserede SQL-databaser. Åbning af et skadeligt websted fra et programdefineret skema, som indeholder '%2f' (/) eller '%5c' (\) og '..' i URL-adressens værtsafsnit, kan medføre oprettelse af databasearkiver uden for det valgte bibliotek. Problemet løses gennem kodning af tegn, som kan have en særlig betydning i stinavne. Problemet påvirker ikke websteder, som anvender http:- eller https:-URL-skemaer. Kildeangivelse: Apple.

  • WebKit

    CVE-ID: CVE-2010-1392

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et "use after free"-problem i WebKits gengivelse af HTML-knapper. Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode. Dette problem løses gennem forbedret håndtering af hukommelsesstyring. Tak til Matthieu Bonetti fra VUPEN Vulnerability Research Team og wushi fra team509, der arbejder med TippingPoints Zero Day Initiative, som har rapporteret dette problem.

  • WebKit

    CVE-ID: CVE-2010-1393

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Besøg på et skadeligt websted kan medføre videregivelse af oplysninger

    Beskrivelse: Der er et problem med videregivelse af oplysninger i WebKits håndtering af overlappende typografiark. Hvis HREF-attributten i et typografiark angives til en URL-adresse, som omdirigerer til en anden side, er der risiko for, at scripts på siden kan få adgang til den omdirigerede URL-adresse. Besøg på et skadeligt websted kan medføre videregivelse af følsomme URL-adresser på et andet websted. Problemet løses ved at returnere den oprindelige URL-adresse til scripts i stedet for den omdirigerede URL-adresse.

  • WebKit

    CVE-ID: CVE-2010-1119

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 og nyere, Mac OS X Server v10.6.1 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et "use after free"-problem i håndteringen af attributmanipulation i WebKit. Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode. Dette problem løses gennem forbedret håndtering af referencesporing. Tak til Vincenzo Iozzo og Ralf Philipp Weinmann, som arbejder med TippingPoints Zero Day Initiative samt Michal Zalewski hos Google, Inc., som har rapporteret dette problem.

  • WebKit

    CVE-ID: CVE-2010-1394

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt websted kan medføre scriptingangreb på tværs af websteder

    Beskrivelse: Der er et problem med håndteringen af brudstykker af HTML-dokumenter i WebKit. Indholdet i brudstykker af HTML-dokumenter behandles, før brudstykket føjes til et dokument. Besøg på et skadeligt websted medfører risiko for scripting-angreb på tværs af websteder, hvis et autoriseret websted forsøger at manipulere et brudstykke af et dokument, som indeholder ikke-godkendte data. Problemet løses ved at sikre, at den indledende fortolkning af brudstykker ikke har nogen bieffekt på det dokument, som har oprettet brudstykket. Tak til Eduardo Vela Nava (sirdarckcat) fra Google Inc., som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1422

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Kontakt med et skadeligt websted kan resultere i uventede handlinger på andre websteder

    Beskrivelse: Der er et implementeringsproblem i WebKits håndtering af tastaturfokus. Hvis der ændres tastaturfokus, mens der behandles tastetryk, viser WebKit muligvis resultatet i den nye ramme, der er i fokus, i stedet for i den ramme, der var i fokus, da der blev trykket på tasten. Et skadeligt websted kan muligvis være i stand til at manipulere brugeren til at foretage en uventet handling, f.eks. foretage et køb. Problemet løses ved at forhindre, at der vises resultater af tastetryk, hvis der ændres tastaturfokus, mens tastetrykket behandles. Tak til Michal Zalewski fra Google Inc., som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1395

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt websted kan medføre et scriptingangreb på tværs af websteder

    Beskrivelse: Der er et problem med lokal administration i WebKits håndtering af DOM-konstruktørobjekter. Besøg på et skadeligt websted kan medføre et scriptingangreb på tværs af websteder. Problemet løses gennem forbedret håndtering af DOM-konstruktørobjekter. Tak til Gianni "gf3" Chiappetta fra Runlevel6, som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1396

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et "use after free"-problem i WebKits håndtering af fjernelse af objektbeholderelementer. Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode. Dette problem løses gennem forbedret håndtering af referencesporing. Tak til wushi fra team509 fra TippingPoints Zero Day Initiative, som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1397

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et "use after free"-problem i WebKits gengivelse af udsnit, når layoutet ændres. Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode. Dette problem løses gennem forbedret håndtering af udsnit. Tak til wushi&Z fra team509, der arbejder med TippingPoint's Zero Day Initiative, som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1398

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et hukommelsesproblem i WebKits håndtering af bestilte listeindsættelser. Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode. Dette problem løses gennem forbedret håndtering af listeindsættelser. Tak til wushi fra team509, der arbejder med TippingPoints Zero Day Initiative, som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1399

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et problem med ikke-initialiseret hukommelse i WebKits håndtering af udsnitsændringer til inputelementer i formularer. Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode. Dette problem løses gennem forbedret håndtering af udsnit. Tak til wushi fra team509, der arbejder med TippingPoints Zero Day Initiative, som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1400

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et "use after free"-problem i WebKits håndtering af billedtekstelementer. Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode. Dette problem løses gennem forbedret håndtering af billedtekstelementer. Tak til wushi hos team509, som arbejder med iDefense og som har rapporteret dette problem.

  • WebKit

    CVE-ID: CVE-2010-1401

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et "use after free"-problem i WebKits håndtering af pseudoelementer af typen ':first-letter' i overlappende typografiark. Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode. Problemet løses gennem forbedret håndtering af pseudoelementet ':first-letter'. Tak til wushi fra team509, der arbejder med TippingPoints Zero Day Initiative, som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1402

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et dobbelt "use after free"-problem i WebKits håndtering af event listeners i SVG-dokumenter. Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode. Dette problem løses gennem forbedret håndtering af SVG-dokumenter. Tak til wushi fra team509, der arbejder med TippingPoints Zero Day Initiative, som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1403

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et problem med adgang til ikke-initialiseret hukommelse i WebKits håndtering af 'use'-elementer i SVG-dokumenter. Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode. Problemet løses gennem forbedret håndtering af 'use'-elementer i SVG-dokumenter. Tak til wushi fra team509, der arbejder med TippingPoints Zero Day Initiative, som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1404

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et "use after free"-problem i WebKits håndtering af SVG-dokumenter, som indeholder flere 'use'-elementer. Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode. Problemet løses gennem forbedret håndtering af 'use'-elementer i SVG-dokumenter. Tak til wushi fra team509, der arbejder med TippingPoints Zero Day Initiative, som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1410

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et hukommelsesproblem i WebKits håndtering af integrerede 'use'-elementer i SVG-dokumenter. Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode. Problemet løses gennem forbedret håndtering af integrerede 'use'-elementer i SVG-dokumenter. Tak til Aki Helin fra OUSPG, som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1749

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et "use after free"-problem i WebKits håndtering af CSS-run-ins. Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode. Dette problem løses via forbedret håndtering af CSS-run-ins. Tak til wushi fra team509, der arbejder med TippingPoints Zero Day Initiative, som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1405

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et "use after free"-problem i WebKits håndtering af HTML-elementer med tilpasset lodret placering. Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode. Dette problem løses gennem forbedret håndtering af referencesporing. Tak til Ojan Vafai fra Google Inc., som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1406

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Besøg på et HTTPS-websted, som omdirigerer til et HTTP-websted, kan medføre videregivelse af oplysninger

    Beskrivelse: Når WebKit omdirigeres fra et HTTPS-websted til et HTTP-websted, overføres referencehovedet til HTTP-webstedet. Det kan medføre videregivelse af følsomme oplysninger, som er indeholdt i URL-adressen til HTTPS-webstedet. Problemet løses ved at undlade at overføre referencehovedet, når et HTTPS-websted omdirigerer til et HTTP-websted. Tak til Colin Percival fra Tarsnap, som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1408

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Besøg på et skadeligt websted kan medføre afsendelse af fremmede data til vilkårlige TCP-porte

    Beskrivelse: Der er et problem med afkortede heltal i WebKits håndtering af anmodninger til TCP-porte, der ikke er standardporte. Besøg på et skadeligt websted kan medføre afsendelse af fremmede data til vilkårlige TCP-porte. Problemet løses ved at sikre, at portnumrene ligger inden for det godkendte interval.

  • WebKit

    CVE-ID: CVE-2010-1409

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Besøg på et skadeligt websted kan medføre, at der sendes fremmede data til en IRC-server

    Beskrivelse: Almindelige porte for IRC-tjenesten er ikke medtaget på WebKits sorte liste over porte. Besøg på et skadeligt websted kan tillade, at der sendes fremmede data til en IRC-server. Dette medfører risiko for, at serveren udfører utilsigtede handlinger på vegne af brugeren. Problemet løses ved at føje de pågældende porte til WebKits sorte liste over porte.

  • WebKit

    CVE-ID: CVE-2010-1412

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et "use after free"-problem i WebKits håndtering af pegebegivenheder. Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode. Dette problem løses gennem forbedret håndtering af pegebegivenheder. Tak til Dave Bowker fra davebowker.com, som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1413

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: En brugers NTLM-legitimationsoplysninger kan videregives i forbindelse med et "man in the middle"-angreb

    Beskrivelse: WebKit kan under særlige omstændigheder sende NTLM-legitimationsoplysninger som almindelig tekst. Dette medfører risiko for, at NTLM-legitimationsoplysninger vises i forbindelse med et "man in the middle"-angreb. Problemet løses gennem forbedret håndtering af NTLM-legitimationsoplysninger. Kildeangivelse: Apple.

  • WebKit

    CVE-ID: CVE-2010-1414

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et "use after free"-problem i WebKits håndtering af DOM-metoden removeChild. Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode. Problemet løses gennem forbedret håndtering af fjernelse af underordnede elementer. Tak til Mark Dowd fra Azimuth Security, som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1415

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et problem med API-misbrug i WebKits håndtering af libxml-kontekster. Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode. Problemet løses gennem forbedret håndtering af libxml-kontekstobjekter. Tak til Aki Helin fra OUSPG, som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1416

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Hvis du besøger et skadeligt websted, kan det afsløre billeder fra andre websteder

    Beskrivelse: Der er et problem med billedoverførsel på tværs af websteder i WebKit. Et skadeligt websted kan muligvis indlæse og overføre et billede fra et andet websted ved hjælp af et lærred med et SVG-billedmønster. Problemet løses ved at begrænse læsningen af lærreder med mønstre, som er indlæst fra andre websteder. Tak til Chris Evans fra Google Inc., som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1417

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et hukommelsesproblem i WebKits gengivelse af CSS-formateret HTML-indhold, som har flere pseudoselektorer af typen :after. Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode. Problemet løses gennem forbedret gengivelse af HTML-indhold. Tak til wushi fra team509, som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1418

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt websted kan medføre afvikling af instrukser på tværs af websteder

    Beskrivelse: Der er et problem med godkendelse af input i WebKits håndtering af rammeelementets src-attribut. En attribut med et JavaScript-skema og foranstillede mellemrum betragtes som gyldig. Effekt: Et besøg på et skadeligt websted kan medføre scripting-angreb på tværs af websteder. Denne opdatering løser problemet gennem korrekt godkendelse af frame.src, før referencen til URL-adressen fjernes. Tak til Sergey Glazunov, som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1419

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et "use after free"-problem i WebKits håndtering af træk og slip-handlinger, når det vindue, der fungerer som kilde for trækhandlingen, lukkes, før trækhandlingen er fuldført. Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode. Dette problem løses gennem forbedret håndtering af hukommelsesstyring. Tak til kuzzcc og Skylined fra Google Chrome Security Team, som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1421

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Besøg på et skadeligt websted kan ændre indholdet i udklipsholderen

    Beskrivelse: Der er et designproblem i implementeringen af JavaScript-funktionen execCommand. En skadelig webside kan ændre indholdet i udklipsholderen uden handling fra brugerens side. Problemet løses ved kun at tillade udklipsholderkommandoer, som startes af brugeren. Kildeangivelse: Apple.

  • WebKit

    CVE-ID: CVE-2010-0544

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Besøg på et skadeligt websted kan resultere i scripting på tværs af websteder

    Beskrivelse: Et problem i WebKits håndtering af forkert formaterede URL-adresser kan medføre scripting-angreb på tværs af websteder, når du besøger et skadeligt websted. Dette problem løses gennem forbedret håndtering af URL-adresser. Tak til Michal Zalewski fra Google Inc., som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1758

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et "use after free"-problem i WebKits håndtering af DOM Range-objekter. Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode. Problemet løses gennem forbedret håndtering af DOM Range-objekter. Tak til Yaar Schnitman fra Google Inc., som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1759

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et "use after free"-problem i WebKits håndtering af Node.normalize-metoden. Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode. Dette problem løses gennem forbedret håndtering af Node.normalize-metoden. Tak til Mark Dowd, som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1761

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et "use after free"-problem i WebKits gengivelse af HTML-dokumentundertræer. Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode. Problemet løses gennem forbedret gengivelse af HTML-dokumentundertræer. Tak til James Robinson fra Google Inc., som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1762

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt websted kan medføre afvikling af instrukser på tværs af websteder

    Beskrivelse: Der er et designproblem i håndteringen af HTML-indhold i tekstområdeelementer. Besøg på et skadeligt websted kan medføre scripting-angreb på tværs af websteder. Dette problem løses gennem forbedret godkendelse af tekstområdeelementer. Tak til Eduardo Vela Nava (sirdarckcat) fra Google Inc., som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1764

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Besøg på et websted, som omdirigerer sendte formularer, kan medføre videregivelse af oplysninger

    Beskrivelse: Der er et designproblem i WebKits håndtering af HTTP-omdirigeringer. Når en sendt formular omdirigeres til et websted, som selv omdirigerer til et tredje websted, sendes de oplysninger, der er indeholdt i den sendte formular, muligvis til det tredje websted. Dette problem løses gennem forbedret håndtering af HTTP-omdirigeringer. Tak til Marc Worrell fra WhatWebWhat, som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1770

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et problem med skriftkontrol i WebKits håndtering af tekstnoder. Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode. Dette problem løses gennem forbedret skriftkontrol. Tak til wushi fra team509, der arbejder med TippingPoints Zero Day Initiative, som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1771

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et "use after free"-problem i WebKits håndtering af skrifter. Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode. Dette problem løses gennem forbedret håndtering af skrifter. Kildeangivelse: Apple.

  • WebKit

    CVE-ID: CVE-2010-1774

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et problem med overskredet hukommelse i WebKits håndtering af HTML-tabeller. Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode. Dette problem løses gennem forbedret kontrol af grænser. Tak til wushi fra team509, som har rapporteret problemet.

  • WebKit

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et skadeligt websted kan muligvis få adgang til at bestemme, hvilke websteder en bruger har besøgt

    Beskrivelse: Der er et designproblem i WebKits håndtering af CSS-pseudoklassen :visited. Et skadeligt websted kan muligvis få adgang til at bestemme, hvilke websteder en bruger har besøgt. Denne opdatering begrænser websiders adgang til at formatere sider baseret på besøg på links.

Bemærk! Safari 5.0 og Safari 4.1 løser de samme sikkerhedsproblemer. Safari 5.0 er til Mac OS X v10.5, Mac OS X v10.6 og Microsoft Windows-systemer. Safari 4.1 er til Mac OS X v10.4-systemer.

Udgivelsesdato: