Informationen zum Sicherheitsinhalt von Safari 5.0.1 und Safari 4.1.1

In diesem Dokument wird der Sicherheitsinhalt von Safari 5.0.1 und Safari 4.1.1 beschrieben.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und wenn alle erforderlichen Programmkorrekturen oder Versionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website "Apple-Produktsicherheit".

Informationen zum Apple-Produktsicherheits-PGP-Schlüssel finden Sie unter "So verwenden Sie den Apple-Produktsicherheits-PGP-Schlüssel".

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter "Apple Sicherheitsupdates".

Safari 5.0.1 und Safari 4.1.1

  • Safari

    CVE-ID: CVE-2010-1778

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 oder neuer, Mac OS X Server 10.6.2 oder neuer, Windows 7, Vista, XP SP2 oder neuer

    Symptom: Der Zugriff auf einen in böswilliger Absicht erstellten RSS-Feed kann dazu führen, dass Dateien vom System des Benutzers an einen entfernen Server gesendet werden.

    Beschreibung: Bei der Verarbeitung von RSS-Feeds in Safari gibt es eine Schwachstelle für das Cross-Site-Scripting. Der Zugriff auf einen in böswilliger Absicht erstellten RSS-Feed kann dazu führen, dass Dateien vom System des Benutzers an einen entfernen Server gesendet werden. Dieses Problem wird durch eine verbesserte Verarbeitung von RSS-Feeds behoben. Wir danken Billy Rios vom Google Security Team für die Meldung dieses Problems.

  • Safari

    CVE-ID: CVE-2010-1796

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 oder neuer, Mac OS X Server 10.6.2 oder neuer, Windows 7, Vista, XP SP2 oder neuer

    Symptom: Bei der Funktion zum automatischen Ausfüllen in Safari können Daten ohne Zutun des Benutzers an Websites übermittelt werden.

    Beschreibung: Mit der Funktion zum automatischen Ausfüllen in Safari können Web-Formulare automatisch mit entsprechend zugewiesenen Informationen aus Ihrem Mac OS X Adressbuch, Outlook oder dem Windows-Adressbuch ausgefüllt werden. Vom Aufbau her ist für die Funktion zum automatischen Ausfüllen die Interaktion mit dem Benutzer erforderlich. Es gibt aber eine Schwachstelle bei der Implementierung, die es einer in böswilliger Absicht erstellten Website ermöglicht, die Funktion zum automatischen Ausfüllen ohne Interaktion mit dem Benutzer auszulösen. Dadurch könnten Daten aus der Adressbuchkarte des Benutzers unfreiwillig freigegeben werden. Damit dieser Fall eintreten kann, müssen zwei Umstände erfüllt sein. Erstens muss in den Einstellungen von Safari unter "Autom. ausfüllen" das Markierungsfeld "Informationen meiner Adressbuch-Visitenkarte übernehmen" aktiviert sein. Zweitens muss im Adressbuch des Benutzers einer Karte die Bezeichnung "Meine Karte" zugewiesen sein. Nur auf die Daten in dieser speziellen Karte greift die Funktion zum automatischen Ausfüllen zu. Dieses Problem wird behoben, indem die Nutzung von Daten durch die Funktion zum automatischen Ausfüllen ohne Benutzerinteraktion unterbunden wird. Geräte mit iOS sind hiervon nicht betroffen. Wir danken Jeremiah Grossman von WhiteHat Security für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2010-1780

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 oder neuer, Mac OS X Server 10.6.2 oder neuer, Windows 7, Vista, XP SP2 oder neuer

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung von beliebigem Code führen.

    Beschreibung: Bei der Verarbeitung der Elementfokussierung in WebKit kommt es zu einem Use-after-free-Problem. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung von beliebigem Code führen. Dieses Problem wird durch eine verbesserte Verarbeitung der Elementfokussierung behoben. Wir danken Tony Chang von Google Inc. für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2010-1782

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 oder neuer, Mac OS X Server 10.6.2 oder neuer, Windows 7, Vista, XP SP2 oder neuer

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung von beliebigem Code führen.

    Beschreibung: Beim Rendern von Inline-Elementen in WebKit tritt ein Speicherfehler auf. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung von beliebigem Code führen. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben. Dank an wushi von team509 für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2010-1783

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 oder neuer, Mac OS X Server 10.6.2 oder neuer, Windows 7, Vista, XP SP2 oder neuer

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung von beliebigem Code führen.

    Beschreibung: Bei der Verarbeitung von dynamischen Modifikationen an Textknoten (textnodes) in WebKit tritt ein Speicherfehler auf. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung von beliebigem Code führen. Dieses Problem wird durch eine verbesserte Speicherverwaltung behoben.

  • WebKit

    CVE-ID: CVE-2010-1784

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 oder neuer, Mac OS X Server 10.6.2 oder neuer, Windows 7, Vista, XP SP2 oder neuer

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung von beliebigem Code führen.

    Beschreibung: Bei der Verarbeitung von CSS-Zählern in WebKit tritt ein Speicherfehler auf. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung von beliebigem Code führen. Dieses Problem wird durch eine verbesserte Speicherverwaltung behoben. Wir danken wushi von team509, die mit der TippingPoint Zero Day Initiative zusammenarbeiten, für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2010-1785

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 oder neuer, Mac OS X Server 10.6.2 oder neuer, Windows 7, Vista, XP SP2 oder neuer

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung von beliebigem Code führen.

    Beschreibung: Bei der Verarbeitung der Pseudo-Elemente :first-letter und :first-line in SVG-Textelementen durch WebKit kommt es zu einem Problem mit nicht initialisiertem Speicherzugriff. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung von beliebigem Code führen. Dieses Problem wird behoben, indem in SVG-Textelementen die Pseudo-Elemente :first-letter und :first-line nicht gerendert werden. Wir danken wushi von team509, die mit der TippingPoint Zero Day Initiative zusammenarbeiten, für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2010-1786

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 oder neuer, Mac OS X Server 10.6.2 oder neuer, Windows 7, Vista, XP SP2 oder neuer

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung von beliebigem Code führen.

    Beschreibung: Bei der Verarbeitung von foreignObject Elementen in SVG-Dokumenten in WebKit kommt es zu einem Use-after-free-Problem. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung von beliebigem Code führen. Dieses Problem wird durch eine zusätzliche Validierung von SVG-Dokumenten behoben. Wir danken wushi von team509, die mit der TippingPoint Zero Day Initiative zusammenarbeiten, für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2010-1787

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 oder neuer, Mac OS X Server 10.6.2 oder neuer, Windows 7, Vista, XP SP2 oder neuer

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung von beliebigem Code führen.

    Beschreibung: Bei der Verarbeitung von floating-Elementen in SVG-Dokumenten durch WebKit kommt es zu einem Speicherfehler. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung von beliebigem Code führen. Dieses Problem wird durch eine verbesserte Speicherverwaltung behoben. Wir danken wushi von team509, die mit der TippingPoint Zero Day Initiative zusammenarbeiten, für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2010-1788

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 oder neuer, Mac OS X Server 10.6.2 oder neuer, Windows 7, Vista, XP SP2 oder neuer

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung von beliebigem Code führen.

    Beschreibung: Bei der Verarbeitung von 'use'-Elementen in SVG-Dokumenten durch WebKit kommt es zu einem Speicherfehler. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung von willkürlichem Code führen. Dieses Problem wird durch eine verbesserte Verarbeitung von 'use'-Elementen in SVG-Dokumenten behoben. Wir danken Justin Schuh von Google Inc. für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2010-1789

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 oder neuer, Mac OS X Server 10.6.2 oder neuer, Windows 7, Vista, XP SP2 oder neuer

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung von beliebigem Code führen.

    Beschreibung: In WebKit tritt ein Heap-Puffer-Überlauf bei der Verarbeitung von JavaScript-String-Objekten auf. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung von beliebigem Code führen. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben. Dank an Apple.

  • WebKit

    CVE-ID: CVE-2010-1790

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 oder neuer, Mac OS X Server 10.6.2 oder neuer, Windows 7, Vista, XP SP2 oder neuer

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung von beliebigem Code führen.

    Beschreibung: Bei der Verarbeitung von Just-in-Time-kompilierten JavaScript-Stubs in WebKit tritt ein Problem mit der Eintrittsinvarianz auf. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung von beliebigem Code führen. Dieses Problem wurde durch eine verbesserte Synchronisierung behoben.

  • WebKit

    CVE-ID: CVE-2010-1791

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 oder neuer, Mac OS X Server 10.6.2 oder neuer, Windows 7, Vista, XP SP2 oder neuer

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung von beliebigem Code führen.

    Beschreibung: Bei der Verarbeitung von JavaScript-Arrays in WebKit tritt ein Problem mit der Vorzeichenbehaftung auf. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung von beliebigem Code führen. Dieses Problem wird durch eine verbesserte Verarbeitung der JavaScript-Array-Indizes behoben. Wir danken Natalie Silvanovich für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2010-1792

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 oder neuer, Mac OS X Server 10.6.2 oder neuer, Windows 7, Vista, XP SP2 oder neuer

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung von beliebigem Code führen.

    Beschreibung: Bei der Verarbeitung von regulären Ausdrücken in WebKit tritt ein Speicherfehler auf. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung von beliebigem Code führen. Dieses Problem wird durch eine verbesserte Verarbeitung der regulären Ausdrücke behoben. Wir danken Peter Varga von der University of Szeged für die Meldung dieses Problems.

  • WebKit

    CVE-ID: CVE-2010-1793

    Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 oder neuer, Mac OS X Server 10.6.2 oder neuer, Windows 7, Vista, XP SP2 oder neuer

    Symptom: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung von beliebigem Code führen.

    Beschreibung: Bei der Verarbeitung von "font-face"- und "use"-Elementen in SVG-Dokumenten in WebKit kommt es zu einem Use-after-free-Problem. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einer unerwarteten Programmbeendigung oder zur Ausführung von beliebigem Code führen. Dieses Problem wird durch eine verbesserte Verarbeitung von "font-face"- und "use"-Elementen in SVG-Dokumenten behoben. Dank an Aki Helin von OUSPG für die Meldung dieses Problems.

Wichtig: Der Hinweis auf Websites und Produkte Dritter dient ausschließlich informativen Zwecken und ist weder als Billigung noch als Empfehlung zu verstehen Apple übernimmt keine Verantwortung in Bezug auf die Auswahl, Leistung oder Verwendung von Informationen oder Produkten, die auf Websites Dritter angeboten werden. Apple stellt seinen Kunden diese Informationen nur als Serviceleistung zur Verfügung. Apple hat die Informationen, die auf diesen Sites angeboten werden, nicht geprüft und macht keine Angaben in Bezug auf deren Korrektheit und Zuverlässigkeit. Die Verwendung aller Informationen und Produkte, die im Internet angeboten werden, unterliegt bestimmten Risiken; Apple übernimmt diesbezüglich keine Verantwortung. Bitte haben Sie Verständnis dafür, dass Websites Dritter von Apple unabhängig sind und dass Apple keine Kontrolle über den Inhalt dieser Websites hat. Für weitere Informationen wenden Sie sich bitte an den Hersteller.

Veröffentlichungsdatum: