A propos du contenu sécuritaire de Safari 3.1.1

Ce document décrit le contenu sécuritaire de Safari 3.1.1, qui peut être téléchargé et installé via les préférences de la mise à jour de logiciels ou depuis la page Téléchargements Apple.

Pour la protection de nos clients, Apple n'entreprend aucune révélation, discussion ni confirmation des problèmes de sécurité jusqu'à ce qu'une enquête complète soit menée et que le correctif ou la version soit disponible. Pour en savoir plus sur la sécurité des produits Apple, consultez le site WebSécurité des produits Apple.

Pour plus d'informations concernant la clé PGP de sécurité des produits Apple, consultez "How to use the Apple Product Security PGP Key."

Autant que possible, les références CVE sont utilisées pour répertorier les vulnérabilités afin de fournir plus d'informations.

Pour en savoir plus sur les autres mises à jour de sécurité, consultez "Mises à jour de sécurité Apple."

Cet article a été archivé et ne sera plus mis à jour par Apple.

Safari 3.1.1

  • Safari
    CVE-ID : CVE-2007-2398
    Disponible pour : Windows XP ou Vista
    Impact : un site Web malveillant peut contrôler le contenu de la barre d'adresse
    Description : un problème de synchronisation dans Safari 3.1 permet à une page Web de changer le contenu de la barre d'adresse sans charger le contenu de la page correspondante. Ceci peut être utilisé pour détourner le contenu d'un site légitime, permettant la collecte d'informations confidentielles ou d'autres informations. Ce problème avait été résolu dans Safari bêta 3.0.2, mais est réapparu dans Safari 3.1. Cette mise à jour résout le problème en restaurant le contenu de la barre d'adresse si la demande d'une nouvelle page est annulée. Ce problème n'affecte pas les systèmes Mac OS X.

     

  • Safari
    CVE-ID : CVE-2008-1024
    Disponible pour : Windows XP ou Vista
    Impact : la visite d'un site Web malveillant peut entraîner l'interruption inopinée d'une application ou l'exécution arbitraire de code
    Description : un problème de corruption de mémoire existe dans le téléchargement de fichier de Safari. En incitant un utilisateur à télécharger un fichier avec un nom malveillant, un attaquant peut entraîner l'interruption inopinée d'une application ou l'exécution arbitraire de code. Cette mise à jour résout le problème grâce à un traitement amélioré des téléchargements de fichiers. Ce problème n'affecte pas les systèmes Mac OS X.

     

  • WebKit
    CVE-ID : CVE-2008-1025
    Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2, Windows XP ou Vista
    Impact : la visite d'un site Web malveillant peut entraîner un scriptage croisé entre sites
    Description : un problème existe dans le traitement des URL contenant le caractère deux-points dans le nom d'hôte dans WebKit. L'ouverture d'une URL malveillante peut entraîner une attaque par scriptage croisé entre sites. Cette mise à jour résout le problème grâce au traitement amélioré des URL. Nous remercions Robert Swiecki de Google Information Security Team et David Bloom pour avoir signalé ce problème.

     

  • WebKit
    CVE-ID : CVE-2008-1026
    Disponible pour : Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2, Windows XP ou Vista
    Impact : l'affichage d'une page d'un site Web malveillant peut entraîner l'interruption inopinée d'une application ou l'exécution arbitraire de code
    Description : un dépassement de la mémoire tampon existe dans le traitement des expressions JavaScript régulières dans WebKit. Ce problème peut être déclenché via JavaScript lors du traitement d'expressions régulières avec des nombres élevés de répétitions emboîtées. Ceci peut entraîner l'interruption inopinée d'une application ou l'exécution arbitraire de code. Cette mise à jour résout le problème en effectuant une validation supplémentaire des expressions JavaScript régulières. Nous remercions Charlie Miller pour avoir signalé ces problèmes.

Important : les renseignements concernant des produits non fabriqués par Apple ne sont fournis qu’à titre indicatif et ne constituent ni une recommandation ni une approbation de la part d’Apple. Veuillez contacter le vendeur pour tout renseignement supplémentaire.

Date de publication: