Informationen über den Sicherheitsinhalt von Safari 4.0.3

In diesem Dokument wird der Sicherheitsinhalt von Apple Safari 4.0.3 beschrieben.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Programmkorrekturen oder Versionen verfügbar sind. Nähere Informationen zur Apple Produktsicherheit finden Sie auf der Website Apple Produktsicherheit.

Informationen zum Apple Produktsicherheits-PGP-Schlüssel finden Sie hier: "So verwenden Sie den Apple Produktsicherheits-PGP-Schlüssel".

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Security Updates finden Sie unter "Apple Sicherheitsaktualisierungen".

Safari 4.0.3

  • CoreGraphics

    CVE-ID: CVE-2009-2468

    Verfügbar für: Windows XP und Vista

    Symptom: Der Besuch einer in böswilliger·Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung eines willkürlichen Codes führen.

    Beschreibung: Beim Darstellen langer Textzeichenketten tritt ein Stapelpufferüberlauf auf. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung eines willkürlichen Codes führen. Mit diesem Update wird das Problem durch eine verbesserte Abgrenzungsüberprüfung behoben. Dank an Will Drewry von Google Inc. für die Meldung dieses Problems.

  • ImageIO

    CVE-ID: CVE-2009-2188

    Verfügbar für: Windows XP und Vista

    Symptom: Das Anzeigen eines in böser Absicht erstellten Bildes kann zu einer unerwarteten Programmbeendigung oder zur Ausführung eines willkürlichen Codes führen.

    Beschreibung: Beim Verarbeiten von EXIF-Metadaten tritt ein Heap-Pufferüberlauf auf. Das Anzeigen eines in böser Absicht erstellten Bildes kann zu einer unerwarteten Programmbeendigung oder zur Ausführung willkürlichen Codes führen. Mit diesem Update wird das Problem durch eine verbesserte Abgrenzungsüberprüfung behoben.

  • Safari

    CVE-ID: CVE-2009-2196

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP und Vista

    Symptom: Eine in schädlicher Absicht erstellte Website kann in der Top Sites-Ansicht von Safari hochgestuft werden.

    Beschreibung: Mit Safari 4 wurde die Funktion "Top Sites" eingeführt, um dem Benutzer eine schnelle Übersicht über dessen Lieblingsseiten zu gewähren. Es ist für eine schädliche Website möglich, durch automatisierte Aktionen willkürliche Sites in die Top Sites-Ansicht aufzunehmen. Das kann z. B. dazu verwendet werden, einen Phishing-Angriff zu ermöglichen. Dieses Problem wird behoben, indem automatisch besuchte Websites keine Relevanz mehr für die Top Sites-Liste haben. In die Top Sites-Liste können jetzt nur noch Websites aufgenommen werden, die vom Benutzer manuell aufgerufen wurden. Nebenbei ist standardmäßig die Erkennung betrügerischer Sites in Safari aktiviert. Seit Einführung der Top Sites-Funktion werden betrügerische Sites nicht in der Top Sites-Ansicht angezeigt. Wir danken Inferno von SecureThoughts.com für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2009-2195

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP und Vista

    Symptom: Der Besuch einer in böswilliger·Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung eines willkürlichen Codes führen.

    Beschreibung: Beim Parsen von Fließkommazahlen in WebKit tritt ein Heap-Pufferüberlauf auf. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung eines willkürlichen Codes führen. Mit diesem Update wird das Problem durch eine verbesserte Abgrenzungsüberprüfung behoben. Dank an Apple.

  • WebKit

    CVE-ID: CVE-2009-2200

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP und Vista

    Symptom: Das Aufrufen einer in schädlicher Absicht erstellten Website und das Klicken auf "Öffnen" beim Anzeigen eines schädlichen Plug-Ins kann zur Übermittlung sensibler Daten führen.

    Beschreibung: WebKit erlaubt dem Attribut "pluginspage" des Elements "embed" das Verweisen auf Datei-URLs. Durch Klicken auf "Öffnen" in dem Dialogfeld, das bei einem Verweis auf einen unbekannten Plug-In-Typ angezeigt wird, erfolgt eine Umleitung zur URL, die im Attribut "pluginspage" angegeben ist. Dadurch können entfernte Angreifer Datei-URLs in Safari aufrufen und so die Übermittlung sensibler Daten verursachen. Dieses Update behebt das Problem durch die Einschränkung des URL-Schemas in "pluginspage" auf http oder https. Dank an Alexios Fakos von n.runs AG für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2009-2199

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP und Vista

    Symptom: Doppelgängerzeichen in einer URL können zur Maskierung einer Website verwendet werden.

    Beschreibung: Die IDN-Unterstützung (International Domain Name) und die in Safari integrierten Unicode-Schriftarten können verwendet werden, um URLs zu erstellen, die Doppelgängerzeichen enthalten. Diese können in einer schädlichen Website verwendet werden, um den Benutzer auf eine gefälschte Site zu leiten, die auf den ersten Blick eine legitime Domain aufzuweisen scheint. Mit diesem Update wird das Problem durch eine Ergänzung der WebKit-Liste für bekannte Doppelgängerzeichen behoben. Doppelgängerzeichen werden in der Adressleiste mit Punycode gerendert. Wir danken Chris Weber von Casaba Security, LLC für die Meldung dieses Problems.

Wichtig: Informationen zu Produkten, die nicht von Apple hergestellt wurden, werden zu Informationszwecken zur Verfügung gestellt und stellen keine Empfehlung oder Billigung seitens Apple dar. Für weitere Informationen wenden Sie sich bitte an den Hersteller.

Veröffentlichungsdatum: