À propos du correctif de sécurité de Safari 3.1.2 pour Windows

Ce document décrit le correctif de sécurité de Safari 3.1.2 pour Windows, qui peut être téléchargé et installé via les préférences Mise à jour de logiciels ou à partir de la page Téléchargements d’Apple.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou mises à jour nécessaires ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site web Sécurité produit d’Apple.

Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article « Comment utiliser la clé PGP du groupe de sécurité produit d’Apple ».

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.

Safari 3.1.2 pour Windows

Safari

Référence CVE : CVE-2008-1573

Disponible pour : Windows XP ou Vista

Conséquence : l’affichage d’une image BMP ou GIF malveillante peut entraîner la divulgation d’informations.

Description : un problème de lecture de mémoire hors limites peut se produire lors du traitement des images BMP et GIF, ce qui peut conduire à la divulgation du contenu de la mémoire. Cette mise à jour résout le problème en effectuant une validation supplémentaire des images BMP et GIF. Ce problème est résolu dans les systèmes exécutant Mac OS X 10.5.3 et Mac OS X 10.4.11 avec la mise à jour de sécurité 2008-003. Merci à Gynvael Coldwind de Hispasec de nous avoir signalé ce problème.

Safari

Référence CVE : CVE-2008-2540

Disponible pour : Windows XP ou Vista

Conséquence : l’enregistrement de fichiers non fiables sur le bureau Windows peut entraîner l’exécution de code arbitraire.

Description : il existe un problème dans la façon dont le bureau Windows gère les exécutables. L’enregistrement d’un fichier non fiable sur le bureau Windows peut déclencher le problème et entraîner l’exécution de code arbitraire. Les navigateurs web sont un moyen par lequel les fichiers peuvent être enregistrés sur le bureau. Pour contribuer à atténuer ce problème, le navigateur Safari a été mis à jour de sorte qu’une invite soit affichée avant que l’utilisateur n’enregistre un fichier de téléchargement. En outre, l’emplacement de téléchargement par défaut est remplacé par le dossier Téléchargements de l’utilisateur sous Windows Vista et par le dossier Documents de l’utilisateur sous Windows XP. Ce problème ne se produit pas sur les systèmes exécutant Mac OS X. Des informations supplémentaires sont disponibles sur la page http://www.microsoft.com/technet/security/advisory/953818.mspx qui attribue à Aviv Raff le signalement du problème.

Safari

Référence CVE : CVE-2008-2306

Disponible pour : Windows XP ou Vista

Conséquence : la consultation d’un site web malveillant qui se trouve dans une zone Internet Explorer de confiance peut entraîner l’exécution automatique de code arbitraire.

Impact : si un site web se trouve dans une zone Internet Explorer 7 avec le réglage « Lancement d’applications et de fichiers non sécurisés » défini sur « Activer » ou dans la zone Internet Explorer 6 « Intranet local » ou « Sites de confiance », Safari lancera automatiquement les fichiers exécutables qui sont téléchargés à partir du site. Cette mise à jour résout le problème en ne lançant pas automatiquement les fichiers exécutables téléchargés et en envoyant une invite à l’utilisateur avant qu’il ne télécharge un fichier si le réglage « toujours proposer » est activé. Ce problème ne se produit pas sur les systèmes exécutant Mac OS X. Merci à Will Dormann de CERT/CC d’avoir signalé ce problème. Merci au Microsoft Security Response Center pour l’effort de collaboration réalisé dans l’optique de résoudre ce problème.

WebKit

Référence CVE : CVE-2008-2307

Disponible pour : Windows XP ou Vista

Conséquence : la consultation d’un site web malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

Description : il existe un problème de corruption de la mémoire au niveau de la gestion, par WebKit, des regroupements JavaScript. La consultation d’un site web malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code. Cette mise à jour résout le problème grâce à une vérification améliorée des limites. Merci à James Urquhart de nous avoir signalé ce problème.