Informationen zum Sicherheitsinhalt von Safari 3.1.2 für Windows

Dieses Dokument beschreibt den Sicherheitsinhalt von Safari 3.1.2 für Windows, der über die Einstellungen für Softwareupdate oder über Apple-Downloads geladen und installiert werden kann.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.

Informationen zum PGP-Schlüssel für die Apple-Produktsicherheit findest du unter „Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.“

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates findest du unter „Apple-Sicherheitsupdates“.

Safari 3.1.2 für Windows

Safari

CVE-ID: CVE-2008-1573

Verfügbar für: Windows XP oder Vista

Auswirkung: Das Anzeigen eines in böswilliger Absicht erstellten BMP- oder GIF-Bildes kann zur Offenlegung von Informationen führen.

Beschreibung: Bei der Handhabung von BMP- und GIF-Bildern kann ein Speicher außerhalb des zugewiesenen Bereichs gelesen werden, was zur Offenlegung von Speicherinhalten führen kann. Dieses Update behebt das Problem, indem es eine zusätzliche Überprüfung von BMP- und GIF-Bildern durchführt. Dieses Problem wurde in Systemen mit Mac OS X 10.5.3 und in Mac OS X 10.4.11 mit dem Sicherheitsupdate 2008-003 behoben. Danke an Gynvael Coldwind von Hispasec für das Melden dieses Problems.

Safari

CVE-ID: CVE-2008-2540

Verfügbar für: Windows XP oder Vista

Auswirkung: Das Speichern nicht vertrauenswürdiger Dateien auf dem Windows-Desktop kann zur Ausführung von beliebigem Code führen.

Beschreibung: Es gibt ein Problem damit, wie der Windows-Desktop mit ausführbaren Dateien umgeht. Das Speichern einer nicht vertrauenswürdigen Datei auf dem Windows-Desktop kann das Problem auslösen und zur Ausführung beliebigen Codes führen. Über Webbrowser können Dateien auf dem Desktop gespeichert werden. Zur Entschärfung dieses Problems wurde der Safari-Browser aktualisiert, und dem Benutzer wird nun vor dem Speichern einer Download-Datei eine Aufforderung angezeigt. Außerdem wird der Standardspeicherort für Downloads in den Downloads-Ordner des Benutzers unter Windows Vista und in den Dokumente-Ordner des Benutzers unter Windows XP geändert. Dieses Problem besteht nicht auf Systemen mit Mac OS X. Weitere Informationen findest du unter http://www.microsoft.com/technet/security/advisory/953818.mspx, wo Aviv Raff für das Melden des Problems gedankt wird.

Safari

CVE-ID: CVE-2008-2306

Verfügbar für: Windows XP oder Vista

Auswirkung: Der Besuch einer bösartigen Website, die sich in einer vertrauenswürdigen Internet Explorer-Zone befindet, kann zur automatischen Ausführung von willkürlichem Code führen.

Beschreibung: Wenn sich eine Website in einer Internet Explorer 7-Zone mit der Einstellung „Anwendungen und unsichere Dateien starten“ auf „Aktivieren“ befindet, oder wenn sich eine Website in der Internet Explorer 6-Zone „Lokales Intranet“ oder „Vertrauenswürdige Websites“ befindet, startet Safari automatisch ausführbare Dateien, die von der Website geladen werden. Dieses Update behebt das Problem, indem es geladene ausführbare Dateien nicht automatisch startet und dem Benutzer vor dem Laden einer Datei eine Aufforderung angezeigt, wenn die Einstellung „Jedes Mal fragen“ aktiviert ist. Dieses Problem existiert nicht auf Systemen mit Mac OS X. Danke an Will Dormann von CERT/CC für das Melden dieses Problems. Danke an das Microsoft Security Response Center für die gemeinsamen Bemühungen, dieses Problem zu lösen.

WebKit

CVE-ID: CVE-2008-2307

Verfügbar für: Windows XP oder Vista

Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

Beschreibung: Bei der Handhabung von JavaScript-Arrays durch WebKit besteht ein Speicherfehler. Der Besuch einer in böser Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Update behebt das Problem durch eine verbesserte Abgrenzungsüberprüfung. Danke an James Urquhart für das Melden dieses Problems.