Om sikkerhedsindholdet i Safari 5.0.1 og Safari 4.1.1

Dette dokument indeholder en beskrivelse af sikkerhedsindholdet i Safari 5.0.1 og Safari 4.1.1.

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple Produktsikkerhed, kan du besøge webstedet Apple Produktsikkerhed.

Gå til Sådan bruges PGP-nøglen til Apple Produktsikkerhed for at få oplysninger om PGP-nøglen til Apple Produktsikkerhed.

Hvor det er muligt, anvendes CVE-id'er til at referere til yderligere oplysninger om sikkerhedsproblemer.

Gå til Apple-sikkerhedsopdateringer, hvis du vil læse om andre sikkerhedsopdateringer.

Safari 5.0.1 og Safari 4.1.1

  • Safari

    CVE-ID: CVE-2010-1778

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Adgang til et skadeligt udformet RSS-feed kan forårsage, at arkiver fra brugerens system bliver sendt til en ekstern server

    Beskrivelse: Der er et problem med instrukser på tværs af websteder i Safaris håndtering af RSS-feed. Adgang til et skadeligt udformet RSS-feed kan forårsage, at arkiver fra brugerens system bliver sendt til en ekstern server. Dette problem løses gennem forbedret håndtering af RSS-feed. Tak til Billy Rios fra Google Security Team, som har rapporteret problemet.

  • Safari

    CVE-ID: CVE-2010-1796

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Funktionen Auto-udfyld i Safari frigiver muligvis oplysninger til websteder uden brugerens medvirken

    Beskrivelse: Med funktionen Auto-udfyld i Safari kan formularer udfyldes automatisk ved hjælp af udvalgte oplysninger i din Mac OS X Adressebog, Outlook eller Windows Adressebog. Auto-udfyld er udviklet på en sådan måde, at brugerens medvirken er påkrævet for at Auto-udfyld kan fungere i en webformular. Der er et problem med implementeringen, hvilket gør det muligt for et skadeligt udformet websted at udløse Auto-udfyld uden brugerens medvirken. Dette kan resultere i at oplysninger, der er indeholdt i brugerens Adressebogskort, bliver frigivet. Følgende to situationer skal være til stede, for at problemet udløses: For det første skal afkrydsningsfeltet "Auto-udfyld webformularer ved hjælp af oplysninger fra mit Adressebogskort" være markeret under Auto-udfyld i Safari indstillinger. For det andet skal der være et kort i brugerens Adressebog, der er valgt som "Mit kort". Det er kun oplysningerne fra præcist dette kort, der opnås adgang til via Auto-udfyld. Dette problem løses ved at forhindre Auto-udfyld i at bruge oplysninger uden brugerens medvirken. Enheder, der anvender iOS er ikke berørte. Tak til Jeremiah Grossmann fra WhiteHat Security, som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1780

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et "use after free"-problem i WebKits håndtering af fokus på elementer. Et besøg på et skadeligt udformet websted kan medføre uventet programnedbrud eller vilkårlig kørsel af kode. Dette problem løses gennem forbedret håndtering af fokus på elementer. Tak til Tony Chang fra Google Inc., som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1782

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et problem med beskadigelse af hukommelse i WebKits gengivelse af integrerede elementer. Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode. Dette problem løses gennem forbedret kontrol af grænser. Tak til wushi fra team509, som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1783

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et problem med beskadigelse af hukommelse i WebKits håndtering af dynamiske ændringer af tekstknuder. Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode. Dette problem løses gennem forbedret håndtering af hukommelsesstyring.

  • WebKit

    CVE-ID: CVE-2010-1784

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et problem med beskadigelse af hukommelse i WebKits håndtering af CSS-tællere. Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode. Dette problem løses gennem forbedret håndtering af hukommelsesstyring. Tak til wushi fra team509 fra TippingPoints Zero Day Initiative, som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1785

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et problem med adgang til hukommelse, der ikke er initialiseret, i WebKits håndtering af pseudo-elementerne :first-letter og :first-line i SVG-tekstelementer. Et besøg på et skadeligt udformet websted kan medføre uventet programnedbrud eller vilkårlig kørsel af kode. Dette problem løses ved ikke at gengive pseudo-elementerne :first-letter eller :first-line i SVG-tekstelementer. Tak til wushi fra team509 fra TippingPoints Zero Day Initiative, som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1786

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et "use-after-free"-problem i WebKits håndtering af foreignObjects-elementer i SVG-dokumenter. Et besøg på et skadeligt udformet websted kan medføre uventet programnedbrud eller vilkårlig kørsel af kode. Dette problem løses gennem yderligere godkendelse af SVG-dokumenter. Tak til wushi fra team509 fra TippingPoints Zero Day Initiative, som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1787

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et problem med beskadigelse af hukommelse i WebKits håndtering af flydende elementer i SVG-dokumenter. Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode. Dette problem løses gennem forbedret håndtering af hukommelsesstyring. Tak til wushi fra team509 fra TippingPoints Zero Day Initiative, som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1788

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et problem med beskadigelse af hukommelse i WebKits håndtering af 'use'-elementer i SVG-dokumenter. Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode. Problemet løses gennem forbedret håndtering af 'use'-elementer i SVG-dokumenter. Tak til Justin Schuh fra Google Inc., som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1789

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der sker bufferoverløb i heap under WebKit's håndtering af strengobjekter i JavaScript. Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode. Dette problem løses gennem forbedret kontrol af grænser. Kildeangivelse: Apple.

  • WebKit

    CVE-ID: CVE-2010-1790

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et problem med genindtrædelse i WebKits håndtering af "just-in-time"-kompilerede JavaScript-stubs. Et besøg på et skadeligt udformet websted kan medføre uventet programnedbrud eller vilkårlig kørsel af kode. Dette problem løses gennem forbedret synkronisering.

  • WebKit

    CVE-ID: CVE-2010-1791

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et signedness-problem i WebKits håndtering af JavaScript-arrays. Et besøg på et skadeligt udformet websted kan medføre uventet programnedbrud eller vilkårlig kørsel af kode. Problemet løses gennem forbedret håndtering af array-indekser i JavaScript. Tak til Natalie Silvanovich, som har rapporteret problemet.

  • WebKit

    CVE-ID: CVE-2010-1792

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et problem med beskadigelse af hukommelse i WebKits håndtering af almindelige udtryk. Et besøg på et skadeligt udformet websted kan medføre uventet programnedbrud eller vilkårlig kørsel af kode. Dette problem løses gennem forbedret håndtering af almindelige udtryk. Tak til Peter Varga fra Szeged Universitet, som har rapportet problemet.

  • WebKit

    CVE-ID: CVE-2010-1793

    Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 og nyere, Mac OS X Server v10.6.2 og nyere, Windows 7, Vista, XP SP2 og nyere

    Effekt: Et besøg på et skadeligt udformet websted kan medføre programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et "use-after-free"-problem i WebKits håndtering af "skrifttyper" og "use"-elementer i SVG-dokumenter. Et besøg på et skadeligt udformet websted kan medføre uventet programnedbrud eller vilkårlig kørsel af kode. Problemet løses gennem forbedret håndtering af "skrifttyper" og "use"-elementer i SVG-dokumenter. Tak til Aki Helin fra OUSPG, som har rapporteret problemet.

Udgivelsesdato: