À propos des correctifs de sécurité de Safari 3.1.2 pour Windows
Ce document décrit le contenu de sécurité de Safari 3.1.2 pour Windows, qui peut être téléchargé et installé à partir des préférences de mise à jour logicielle ou des téléchargements Apple http://www.apple.com/support/downloads/.
Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou mises à jour nécessaires ne sont pas disponibles. Pour obtenir des renseignements supplémentaires sur la sécurité produit d’Apple, consultez le site Web Sécurité produit d’Apple.
Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’articleComment utiliser la clé PGP du groupe de sécurité produit d’Apple.
Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.
Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’articleMises à jour de sécurité Apple. »
Safari 3.1.2 pour Windows
Safari
ID CVE : CVE-2008-1573
Disponible pour : Windows XP ou Vista
Conséquence : l’affichage d’une image BMP ou GIF conçue de manière malveillante peut entraîner la divulgation d’informations.
Description : une lecture de mémoire hors limites peut se produire lors du traitement des images BMP et GIF, ce qui peut conduire à la divulgation du contenu de la mémoire. Cette mise à jour résout le problème en effectuant une validation supplémentaire des images BMP et GIF. Ce problème est résolu sur les systèmes exploitant Mac OS X 10.5.3 et Mac OS X 10.4.11 avec la mise à jour de sécurité 2008-003. Merci à Gynvael Coldwind d’Hispasec d’avoir signalé ce problème.
Safari
ID CVE : CVE-2008-2540
Disponible pour : Windows XP ou Vista
Conséquence : l’enregistrement de fichiers non fiables sur le bureau Windows peut entraîner l’exécution d’un code arbitraire.
Description : il existe un problème dans la manière dont le bureau Windows gère les fichiers exécutables. L’enregistrement d’un fichier non fiable sur le bureau Windows peut déclencher le problème et entraîner l’exécution d’un code arbitraire. Les navigateurs Web permettent d’enregistrer des fichiers sur le bureau. Pour aider à atténuer ce problème, le navigateur Safari a été mis à jour pour avertir l’utilisateur avant qu’il n’enregistre un fichier téléchargé. En outre, l’emplacement de téléchargement par défaut est remplacé par le dossier Téléchargements de l’utilisateur sous Windows Vista et par le dossier Documents de l’utilisateur sous Windows XP. Ce problème n’existe pas sur les systèmes exploitant Mac OS X. Des renseignements supplémentaires sont disponibles sur http://www.microsoft.com/technet/security/advisory/953818.mspx qui remercie Aviv Raff d’avoir signalé le problème.
Safari
ID CVE : CVE-2008-2306
Disponible pour : Windows XP ou Vista
Conséquence : le fait d’accéder à un site Web malveillant qui se trouve dans une zone de confiance d’Internet Explorer peut entraîner l’exécution automatique d’un code arbitraire.
Description : si un site Web se trouve dans une zone Internet Explorer 7 dans laquelle le paramètre « Lancement d’applications et de fichiers dangereux » est défini sur « Activer », ou si un site Web se trouve dans la zone « Intranet local » ou « Sites de confiance » d’Internet Explorer 6, Safari lancera automatiquement les fichiers exécutables téléchargés du site. Cette mise à jour résout le problème en ne lançant pas automatiquement les fichiers exécutables téléchargés et en alertant l’utilisateur avant qu’il ne télécharge un fichier si le paramètre « Toujours demander » est activé. Ce problème n’existe pas sur les systèmes exploitant Mac OS X. Nous remercions Will Dormann du CERT/CC d’avoir signalé ce problème. Remerciements au Microsoft Security Response Center pour l’effort de collaboration visant à résoudre ce problème.
WebKit
ID CVE : CVE-2008-2307
Disponible pour : Windows XP ou Vista
Conséquence : la consultation d’un site Web malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution d’un code arbitraire.
Description : il existe un problème de corruption de mémoire dans la gestion des tableaux JavaScript par WebKit. La consultation d’un site Web malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution d’un code arbitraire. La présente mise à jour résout le problème grâce à une vérification améliorée des limites. Nous remercions James Urquhart d’avoir signalé ce problème.
Important : la mention de sites Web et de produits tiers est uniquement à titre informatif et ne constitue ni une approbation ni une recommandation. Apple n’assume aucune responsabilité en ce qui concerne la sélection, les performances ou l’utilisation des renseignements ou des produits trouvés sur des sites Web tiers. Apple propose cela uniquement à titre de commodité pour nos utilisateurs. Apple n’a pas testé les renseignements trouvés sur ces sites et ne fait aucune déclaration quant à leur exactitude ou à leur fiabilité. Il existe des risques inhérents à l’utilisation de tout renseignement ou produit trouvé sur Internet, et Apple n’assume aucune responsabilité à cet égard. Veuillez comprendre qu’un site tiers est indépendant d’Apple et qu’Apple n’a aucun contrôle sur le contenu de ce site Web. Veuillez communiquer avec le vendeur pour obtenir des renseignements supplémentaires.