Informationen zum Sicherheitsinhalt von Safari 5.0.1 und Safari 4.1.1

In diesem Dokument wird der Sicherheitsinhalt von Safari 5.0.1 und Safari 4.1.1 beschrieben.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.

Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit findest du unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates findest du unter „Apple-Sicherheitsupdates“.

Safari 5.0.1 und Safari 4.1.1

  • Safari

    • CVE-ID: CVE-2010-1778

    • Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 oder neuer, Mac OS X Server 10.6.2 oder neuer, Windows 7, Vista, XP SP2 oder neuer

    • Auswirkung: Der Aufruf eines in böswilliger Absicht erstellten RSS-Feeds kann dazu führen, dass Dateien aus dem System des Benutzers an einen Remote-Server gesendet werden

    • Beschreibung: Es gibt ein herkunftsübergreifendes Scripting-Problem bei der Verarbeitung von RSS-Feeds in Safari. Der Aufruf eines in böswilliger Absicht erstellten RSS-Feeds kann dazu führen, dass Dateien aus dem System des Benutzers an einen Remote-Server gesendet werden. Dieses Problem wird durch eine verbesserte Handhabung von RSS-Feeds behoben. Danke an Billy Rios vom Google-Sicherheitsteam für die Meldung dieses Problems.

  • Safari

    • CVE-ID: CVE-2010-1796

    • Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 oder neuer, Mac OS X Server 10.6.2 oder neuer, Windows 7, Vista, XP SP2 oder neuer

    • Auswirkung: Die Safari-Funktion „Automatisch ausfüllen“ gibt eventuell Informationen an Websites weiter, ohne dass eine Benutzerinteraktion vorliegt

    • Beschreibung: Die Safari-Funktion „Automatisch ausfüllen“ kann im Mac-OS-X-Adressbuch, in Outlook oder im Windows-Adressbuch anhand spezieller Informationen Web-Formulare automatisch ausfüllen. Es muss standardmäßig eine Benutzeraktion erfolgen, damit die Funktion „Automatisch ausfüllen“ in einem Web-Formular funktioniert. Es liegt ein Implementierungsproblem vor, das dazu führt, dass eine in böswilliger Absicht erstellte Website die Funktion „Automatisch ausfüllen“ ohne Benutzeraktion auslösen kann. Dies kann zur Offenlegung von Informationen führen, die sich auf der Karte „Adressbuch“ des Benutzers befinden. Damit das Problem ausgelöst wird, müssen die zwei folgenden Umstände vorliegen: Erstens muss in den Safari-Einstellungen unter „Autom. ausfüllen“ die Option „Internetformulare mithilfe der Adressbuch-Informationen automatisch ausfüllen“ aktiviert sein. Zweitens muss im Adressbuch des Benutzers eine der Karten die Bezeichnung „Meine Karte“ besitzen. Die Funktion „Automatisch ausfüllen“ greift ausschließlich auf die Informationen dieser speziellen Karte zu. Dieses Problem wird dadurch behoben, dass der Funktion „Automatisch ausfüllen“ die Nutzung der Informationen verboten wird, wenn keine Benutzeraktion erfolgt. Geräte, die auf iOS laufen, sind nicht betroffen. Wir danken Jeremiah Grossman von WhiteHat Security für die Meldung dieses Problems.

  • WebKit

    • CVE-ID: CVE-2010-1780

    • Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 oder neuer, Mac OS X Server 10.6.2 oder neuer, Windows 7, Vista, XP SP2 oder neuer

    • Auswirkung: Der Besuch einer in böser Absicht erstellten Webseite kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen

    • Beschreibung: Bei der Verarbeitung des Elementfokus durch WebKit kommt es zu einem Use-After-Free-Problem. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Problem wird durch eine verbesserte Handhabung des Elementfokus behoben. Wir danken Tony Chang von Google Inc. für die Meldung dieses Problems.

  • WebKit

    • CVE-ID: CVE-2010-1782

    • Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 oder neuer, Mac OS X Server 10.6.2 oder neuer, Windows 7, Vista, XP SP2 oder neuer

    • Auswirkung: Der Besuch einer in böser Absicht erstellten Webseite kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen

    • Beschreibung: Beim Rendering von Inline-Elementen durch WebKit kommt es zu einem Speicherfehler. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Problem wird durch eine verbesserte Abgrenzungsüberprüfung behoben. Danke an wushi von team509 für die Meldung dieses Problems.

  • WebKit

    • CVE-ID: CVE-2010-1783

    • Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 oder neuer, Mac OS X Server 10.6.2 oder neuer, Windows 7, Vista, XP SP2 oder neuer

    • Auswirkung: Der Besuch einer in böser Absicht erstellten Webseite kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen

    • Beschreibung: Bei der Verarbeitung dynamischer Modifikationen an Textknoten durch WebKit kommt es zu einem Speicherfehler. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.

  • WebKit

    • CVE-ID: CVE-2010-1784

    • Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 oder neuer, Mac OS X Server 10.6.2 oder neuer, Windows 7, Vista, XP SP2 oder neuer

    • Auswirkung: Der Besuch einer in böser Absicht erstellten Webseite kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen

    • Beschreibung: Bei der Verarbeitung von CSS-Countern durch WebKit kommt es zu einem Speicherfehler. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben. Wir danken wushi von team509 in Zusammenarbeit mit der Zero Day Initiative von TippingPoint für die Meldung dieses Problems.

  • WebKit

    • CVE-ID: CVE-2010-1785

    • Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 oder neuer, Mac OS X Server 10.6.2 oder neuer, Windows 7, Vista, XP SP2 oder neuer

    • Auswirkung: Der Besuch einer in böser Absicht erstellten Webseite kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen

    • Beschreibung: Bei der Verarbeitung der Pseudoelemente :first-letter und :first-line in SVG-Textelementen durch WebKit kommt es zu einem Problem beim Zugriff auf uninitialisierten Speicher. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Das Problem wird dadurch behoben, dass kein Rendering der Pseudoelemente :first-letter oder :first-line in SVG-Textelementen erfolgt. Wir danken wushi von team509 in Zusammenarbeit mit der Zero Day Initiative von TippingPoint für die Meldung dieses Problems.

  • WebKit

    • CVE-ID: CVE-2010-1786

    • Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 oder neuer, Mac OS X Server 10.6.2 oder neuer, Windows 7, Vista, XP SP2 oder neuer

    • Auswirkung: Der Besuch einer in böser Absicht erstellten Webseite kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen

    • Beschreibung: Bei der Verarbeitung von foreignObject-Elementen in SVG-Dokumenten durch WebKit kommt es zu einem Use-After-Free-Problem. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Problem wird durch eine zusätzliche Überprüfung von SVG-Dokumenten behoben. Wir danken wushi von team509 in Zusammenarbeit mit der Zero Day Initiative von TippingPoint für die Meldung dieses Problems.

  • WebKit

    • CVE-ID: CVE-2010-1787

    • Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 oder neuer, Mac OS X Server 10.6.2 oder neuer, Windows 7, Vista, XP SP2 oder neuer

    • Auswirkung: Der Besuch einer in böser Absicht erstellten Webseite kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen

    • Beschreibung: Bei der Verarbeitung von Floating-Elementen in SVG-Dokumenten durch WebKit kommt es zu einem Speicherfehler. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben. Wir danken wushi von team509 in Zusammenarbeit mit der Zero Day Initiative von TippingPoint für die Meldung dieses Problems.

  • WebKit

    • CVE-ID: CVE-2010-1788

    • Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 oder neuer, Mac OS X Server 10.6.2 oder neuer, Windows 7, Vista, XP SP2 oder neuer

    • Auswirkung: Der Besuch einer in böser Absicht erstellten Webseite kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen

    • Beschreibung: Bei der Verarbeitung von „use“-Elementen in SVG-Dokumenten durch WebKit kommt es zu einem Speicherfehler. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Problem wird durch eine verbesserte Handhabung von „Use“-Elementen in SVG-Dokumenten behoben. Wir danken Justin Schuh von Google Inc. für die Meldung dieses Problems.

  • WebKit

    • CVE-ID: CVE-2010-1789

    • Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 oder neuer, Mac OS X Server 10.6.2 oder neuer, Windows 7, Vista, XP SP2 oder neuer

    • Auswirkung: Der Besuch einer in böser Absicht erstellten Webseite kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen

    • Beschreibung: Bei der Verarbeitung von JavaScript-String-Objekten durch WebKit kommt es zu einem Heap Speicherüberlauf. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Problem wird durch eine verbesserte Abgrenzungsüberprüfung behoben. Quelle: Apple.

  • WebKit

    • CVE-ID: CVE-2010-1790

    • Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 oder neuer, Mac OS X Server 10.6.2 oder neuer, Windows 7, Vista, XP SP2 oder neuer

    • Auswirkung: Der Besuch einer in böser Absicht erstellten Webseite kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen

    • Beschreibung: Bei der Verarbeitung von Just-in-time-kompilierten JavaScript-Stubs durch WebKit kommt es zu einem Reentrancy-Problem. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Problem wird durch eine verbesserte Synchronisierung behoben.

  • WebKit

    • CVE-ID: CVE-2010-1791

    • Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 oder neuer, Mac OS X Server 10.6.2 oder neuer, Windows 7, Vista, XP SP2 oder neuer

    • Auswirkung: Der Besuch einer in böser Absicht erstellten Webseite kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen

    • Beschreibung: Bei der Verarbeitung von JavaScript-Arrays durch WebKit kommt es zu einem Vorzeichenproblem. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Problem wird durch eine verbesserte Handhabung von JavaScript-Array-Indizes behoben. Danke an Natalie Silvanovich für die Meldung dieses Problems.

  • WebKit

    • CVE-ID: CVE-2010-1792

    • Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 oder neuer, Mac OS X Server 10.6.2 oder neuer, Windows 7, Vista, XP SP2 oder neuer

    • Auswirkung: Der Besuch einer in böser Absicht erstellten Webseite kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen

    • Beschreibung: Bei der Verarbeitung regulärer Ausdrücke durch WebKit kommt es zu einem Speicherfehler. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Problem wird durch eine verbesserte Handhabung regulärer Ausdrücke behoben. Wir danken Peter Varga von der Universität Szeged für die Meldung dieses Problems.

  • WebKit

    • CVE-ID: CVE-2010-1793

    • Verfügbar für: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 oder neuer, Mac OS X Server 10.6.2 oder neuer, Windows 7, Vista, XP SP2 oder neuer

    • Auswirkung: Der Besuch einer in böser Absicht erstellten Webseite kann zu einem unerwarteten Programmabbruch oder zur Ausführung von willkürlichem Code führen

    • Beschreibung: Bei der Verarbeitung von „font-face“- und „use“-Elementen in SVG-Dokumenten durch WebKit kommt es zu einem Use-After-Free-Problem. Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen. Dieses Problem wird durch eine verbesserte Handhabung von „font-face“- und „use“-Elementen in SVG-Dokumenten behoben. Danke an Aki Helin von OUSPG für die Meldung dieses Problems.

Wichtig: Der Hinweis auf Websites und Produkte von Drittanbietern erfolgt ausschließlich zu Informationszwecken und stellt weder eine Billigung noch eine Empfehlung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Informationen und Produkten auf Websites von Drittanbietern. Apple stellt diese Informationen seinen Kunden lediglich als Serviceleistung zur Verfügung. Apple hat die auf diesen Websites gefundenen Informationen nicht geprüft und übernimmt keine Gewähr für ihre Genauigkeit oder Zuverlässigkeit. Die Verwendung von Informationen oder Produkten im Internet birgt Risiken, und Apple übernimmt diesbezüglich keine Verantwortung. Wir bitten um Verständnis, dass Websites von Drittanbietern von Apple unabhängig sind und dass Apple keine Kontrolle über den Inhalt dieser Website hat. Weitere Informationen sind beim Anbieter erhältlich.

Veröffentlichungsdatum: