Informationen zum Sicherheitsinhalt von Safari 3.2
In diesem Dokument wird der Sicherheitsinhalt von Safari 3.2 beschrieben.
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.
Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit findest du unter „Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit“.
Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.
Informationen zu weiteren Sicherheitsupdates findest du unter „Apple-Sicherheitsupdates.“
Safari 3.2
Safari
CVE-ID: CVE-2005-2096
Verfügbar für: Windows XP oder Vista
Auswirkung: Mehrere Sicherheitslücken in zlib 1.2.2
Beschreibung: In zlib 1.2.2 gibt es mehrere Sicherheitslücke. Die schwerwiegendste könnte zu einem Denial-of-Service führen. Dieses Update behebt die Probleme durch Aktualisierung auf zlib 1.2.3. Diese Probleme betreffen keine Mac OS X-Systeme. Danke an Robbie Joosten von bioinformatics@school und David Gunnells von der University of Alabama at Birmingham für die Meldung dieser Probleme.
Safari
CVE-ID: CVE-2008-1767
Verfügbar für: Windows XP oder Vista
Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen
Beschreibung: In der Libxslt-Bibliothek tritt ein Heap-Pufferüberlauf auf. Das Aufrufen einer in böswilliger Absicht erstellten HTML-Seite kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen. Weitere Informationen zum dem angewendeten Patch sind über http://xmlsoft.org/XSLT/ verfügbar. Dieses Problem betritt keine Mac OS X-Systeme, auf die das Sicherheitsupdate 2008-007 angewendet wurde. Danke an Anthony de Almeida Lopes von Outpost24 AB und Chris Evans vom Google-Sicherheitsteam für die Meldung dieses Problems.
Safari
CVE-ID: CVE-2008-3623
Verfügbar für: Windows XP oder Vista
Auswirkung: Der Besuch einer in böser Absicht erstellten Webseite kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen.
Beschreibung: In der Verarbeitung von Farbräumen in CoreGraphic kommt es zu einem Heap-Pufferüberlauf. Das Anzeigen einer in böser Absicht erstellten Bilddatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen. Dieses Update behebt das Problem durch eine verbesserte Abgrenzungsprüfung. Quelle: Apple.
Safari
CVE-ID: CVE-2008-2327
Verfügbar für: Windows XP oder Vista
Auswirkung: Das Anzeigen einer in böser Absicht erstellten TIFF-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Bei der Verarbeitung von LZW-verschlüsselten TIFF-Bildern in libTIFF gibt es mehrere Probleme mit nicht initialisiertem Speicherzugriff. Das Anzeigen eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Update behebt das Problem durch eine korrekte Arbeitsspeicherinitialisierung und zusätzliche Validierung von TIFF-Bildern. Dieses Problem wurde dank Apple auf Systemen mit Mac OS X v10.5.5 und auf Systemen mit Mac OS X v10.4.11, auf die das Sicherheitsupdate 2008-006 wurde, bereits behoben. Quelle: Apple.
Safari
CVE-ID: CVE-2008-2332
Verfügbar für: Windows XP oder Vista
Auswirkung: Die Anzeige eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Beenden der Anwendung oder zur Ausführung von beliebigem Code führen
Beschreibung: Bei der Verarbeitung von TIFF-Bildern in ImageIO gibt es ein Problem mit beschädigtem Speicher. Das Anzeigen eines in böswilliger Absicht erstellten TIFF-Bildes kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Mit diesem Update wird das Problem durch verbesserte Verarbeitung von TIFF-Bildern behoben. Dieses Problem wurde dank Apple auf Systemen mit Mac OS X v10.5.5 und auf Systemen mit Mac OS X v10.4.11, auf die das Sicherheitsupdate 2008-006 wurde, bereits behoben. Danke an Robert Swiecki vom Google-Sicherheitsteam für die Meldung dieses Problems.
Safari
CVE-ID: CVE-2008-3608
Verfügbar für: Windows XP oder Vista
Auswirkung: Das Anzeigen einer in böser Absicht erstellten JPEG-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Bei der Verarbeitung von eingebetteten ICC-Profilen in JPEG-Bildern im ImageIO gibt es ein Speicherbeschädigungsproblem. Das Anzeigen einer großen, in böswilliger Absicht erstellten JPEG-Bilddatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen. Mit diesem Update wird das Problem durch verbesserte Verarbeitung von ICC-Profilen behoben. Dieses Problem wurde dank Apple auf Systemen mit Mac OS X v10.5.5 und auf Systemen mit Mac OS X v10.4.11, auf die das Sicherheitsupdate 2008-006 wurde, bereits behoben. Quelle: Apple.
Safari
CVE-ID: CVE-2008-3642
Verfügbar für: Windows XP oder Vista
Auswirkung: Das Anzeigen einer in böser Absicht erstellten Bilddatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Bei der Verarbeitung von Bildern mit eingebetteten ICC-Profilen kommt es zu einem Pufferüberlauf. Das Öffnen eines in böswilliger Absicht erstellten Bildes mit einem eingebetteten ICC-Profil kann zu einem unerwarteten Beenden der Anwendung oder zur Ausführung von beliebigem Code führen. Dieses Update behebt das Problem, indem es eine zusätzliche Überprüfung von ICC-Profilen in Bildern durchführt. Dieses Problem betrifft keine Mac OS X-Systeme mit Sicherheitsupdate 2008-007. Quelle: Apple.
Safari
CVE-ID: CVE-2008-3644
Verfügbar für: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP oder Vista
Auswirkung: Möglicherweise werden vertrauliche Informationen für einen lokalen Konsolenbenutzer offengelegt.
Beschreibung: Durch Deaktivieren der automatischen Vervollständigung in einem Formularfeld wird möglicherweise nicht verhindert, dass die Daten in dem Formularfeld im Cache der Browserseite gespeichert werden. Dies kann zur Offenlegung vertraulicher Informationen für einen lokalen Benutzer führen. Dieses Update behebt das Problem durch korrektes Löschen der Formulardaten. Danke an einen anonymen Forscher für die Meldung dieses Problems.
WebKit
CVE-ID: CVE-2008-2303
Verfügbar für: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP oder Vista
Auswirkung: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Vorzeichenproblem bei der Behandlung von JavaScript-Array-Indizes durch Safari kann zu einem Out-of-Bounds-Speicherzugriff führen. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Update behebt das Problem, indem eine zusätzliche Überprüfung von JavaScript-Array-Indizes durchgeführt wird. Danke an SkyLined von Google für die Meldung dieses Problems.
WebKit
CVE-ID: CVE-2008-2317
Verfügbar für: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP oder Vista
Auswirkung: Der Besuch einer in böser Absicht erstellten Webseite kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen.
Beschreibung: Bei der Verarbeitung von Style-Sheet-Elementen in WebCore gibt es ein Problem mit einer Arbeitsspeicherbeschädigung. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Update behebt das Problem durch eine verbesserte Speicherbereinigung. Dieses Problem wurde von einem anonymen Forscher, der mit der Zero Day Initiative von TippingPoint zusammenarbeitet, gemeldet.
WebKit
CVE-ID: CVE-2008-4216
Verfügbar für: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP oder Vista
Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zur Offenlegung vertraulicher Informationen führen.
Beschreibung: Die Plug-In-Schnittstelle von WebKit verhindert nicht, dass Plug-Ins lokale URLs öffnen. Der Besuch einer in böser Absicht erstellten Website kann es einem Remoteangreifer ermöglichen, lokale Dateien in Safari zu starten, was zur Offenlegung von vertraulichen Informationen führen kann. Dieses Update behebt das Problem, indem die URL-Typen eingeschränkt werden, die über die Plug-In-Schnittstelle geöffnet werden können. Danke an Billy Rios von Microsoft und Nitesh Dhanjani von Ernst & Young für die Meldung dieses Problems.
Wichtig: Der Hinweis auf Websites und Produkte von Drittanbietern erfolgt ausschließlich zu Informationszwecken und stellt weder eine Billigung noch eine Empfehlung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Informationen und Produkten auf Websites von Drittanbietern. Apple stellt diese Informationen seinen Kunden lediglich als Serviceleistung zur Verfügung. Apple hat die auf diesen Websites gefundenen Informationen nicht geprüft und übernimmt keine Gewähr für ihre Genauigkeit oder Zuverlässigkeit. Die Verwendung von Informationen oder Produkten im Internet birgt Risiken, und Apple übernimmt diesbezüglich keine Verantwortung. Wir bitten um Verständnis, dass Websites von Drittanbietern von Apple unabhängig sind und dass Apple keine Kontrolle über den Inhalt dieser Website hat. Weitere Informationen sind beim Anbieter erhältlich.