À propos du contenu sécuritaire de Safari 5.0.2 et de Safari 4.1.2

Ce document décrit le contenu sécuritaire de Safari 5.0.2 et de Safari 4.1.2.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été réalisée et que des correctifs ou mises à jour ne sont pas disponibles. Pour en savoir plus sur la sécurité des produits Apple, consultez le site Web Sécurité produit d’Apple.

Pour plus d’informations sur la clé PGP de la sécurité produit d’Apple, consultez l’article « Utilisation de la clé PGP de la sécurité produit d’Apple ».

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir de plus amples détails.

Pour en savoir plus sur les autres mises à jour de sécurité, consultez l’article « Mises à jour de sécurité Apple ».

Cet article a été archivé et ne sera plus mis à jour par Apple.

Safari 5.0.2 et Safari 4.1.2

  • Safari

    Référence CVE : CVE-2010-1805

    Disponible pour : Windows 7, Vista, XP SP2 ou ultérieur

    Conséquence : l’ouverture d’un fichier situé dans un répertoire sur lequel d’autres utilisateurs possèdent des droits d’écriture peut conduire à l’exécution arbitraire de code.

    Description : il existe un problème de chemin de recherche dans Safari. Lorsque vous affichez l’emplacement d’un fichier téléchargé, Safari lance l’Explorateur Windows sans spécifier le chemin d’accès complet de l’exécutable. Si vous lancez Safari en ouvrant un fichier situé dans un répertoire spécifique, ce dernier sera inclus dans le chemin de recherche. Si vous tentez d’afficher l’emplacement d’un fichier téléchargé, une application se trouvant dans ce répertoire peut être exécutée, ce qui peut conduire à l’exécution arbitraire de code. Pour résoudre ce problème, utilisez un chemin de recherche explicite lorsque vous lancez l’Explorateur Windows. Ce problème ne concerne pas les systèmes Mac OS X. Nous remercions Simon Raner d’ACROS Security d’avoir signalé ce problème.

  • WebKit

    Référence CVE : CVE-2010-1807

    Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou ultérieur, Mac OS X Server 10.6.2 ou ultérieur, Windows 7, Vista, XP SP2 ou ultérieur.

    Conséquence : la consultation d’un site Web conçu de manière malveillante peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Description : il existe un problème de validation de saisie dans la gestion par WebKit des types de données à virgule flottante. La consultation d’un site Web conçu de manière malveillante peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code. Ce problème est résolu par une meilleure validation des valeurs à virgule flottante. Nous remercions Luke Wanger de Mozilla d’avoir signalé ce problème.

  • WebKit

    Référence CVE : CVE-2010-1806

    Disponible pour : Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou ultérieur, Mac OS X Server 10.6.2 ou ultérieur, Windows 7, Vista, XP SP2 ou ultérieur.

    Conséquence : la consultation d’un site Web conçu de manière malveillante peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

    Description : il existe un problème d’utilisation ultérieure libre dans la gestion par WebKit des éléments utilisant des styles run-in. La consultation d’un site Web conçu de manière malveillante peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code. Ce problème est résolu par une meilleure gestion des pointeurs d’objet. Nous remercions wushi, de team509, travaillant pour le programme Zero Day Initiative de TippingPoint, d’avoir signalé ce problème.

Important : les renseignements concernant des produits non fabriqués par Apple ne sont fournis qu’à titre indicatif et ne constituent ni une recommandation ni une approbation de la part d’Apple. Veuillez contacter le vendeur pour tout renseignement supplémentaire.

Date de publication: