À propos des correctifs de sécurité de Safari 3.2
Ce document décrit les correctifs de sécurité de Safari 3.2.
Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou mises à jour nécessaires ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site web Sécurité produit d’Apple.
Pour en savoir plus sur la clé PGP du groupe de sécurité produit d’Apple, consultez l’article « Comment utiliser la clé PGP du groupe de sécurité produit d’Apple ».
Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.
Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article « Mises à jour de sécurité Apple ».
Safari 3.2
Safari
Référence CVE : CVE-2005-2096
Disponible pour : Windows XP ou Vista
Conséquence : plusieurs vulnérabilités dans zlib 1.2.2
Description : plusieurs vulnérabilités existent dans zlib 1.2.2, dont la plus grave peut conduire à un déni de service. Cette mise à jour résout les problèmes en installant la version 1.2.3 de zlib. Ces problèmes n’affectent pas les systèmes Mac OS X. Nous remercions Robbie Joosten, de bioinformatics@school, et David Gunnells, de l’Université d’Alabama à Birmingham, d’avoir signalé ces problèmes.
Safari
Référence CVE : CVE-2008-1767
Disponible pour : Windows XP ou Vista
Conséquence : le traitement d’un document XML peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code.
Description : un problème de dépassement de la mémoire tampon existe dans la librairie libxslt. L’affichage d’une page HTML malveillante peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code. Pour plus d’informations sur le correctif appliqué, consultez le site web http://xmlsoft.org/XSLT/. Ce problème ne concerne pas les systèmes Mac OS X auxquels la mise à jour de sécurité 2008-007 a été appliquée. Nous remercions Anthony de Almeida Lopes, d’Outpost24 AB, et Chris Evans, de l’équipe de sécurité de Google, d’avoir signalé ce problème.
Safari
Référence CVE : CVE-2008-3623
Disponible pour : Windows XP ou Vista
Conséquence : la consultation d’un site web malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code
Description : un problème de dépassement de la mémoire tampon de tas existe dans la gestion des espaces colorimétriques par CoreGraphics. L’affichage d’une image malveillante peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code. Cette mise à jour résout le problème grâce à une vérification améliorée des limites. Source : Apple.
Safari
Référence CVE : CVE-2008-2327
Disponible pour : Windows XP ou Vista
Conséquence : l’affichage d’une image TIFF malveillante peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code.
Description : plusieurs problèmes d’accès à la mémoire non initialisée existent dans la gestion des images TIFF encodées au format LZW par la bibliothèque libTIFF. L’affichage d’une image TIFF malveillante peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code. Cette mise à jour résout le problème grâce à une initialisation appropriée de la mémoire et à une validation supplémentaire des images TIFF. Ce problème est résolu dans les systèmes exécutant Mac OS X 10.5.5 ou version ultérieure et dans les systèmes Mac OS X 10.4.11 auxquels la mise à jour de sécurité 2008-006 a été appliquée. Source : Apple.
Safari
Référence CVE : CVE-2008-2332
Disponible pour : Windows XP ou Vista
Conséquence : l’affichage d’une image TIFF malveillante peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code.
Description : un problème de corruption de la mémoire existe dans la gestion des images TIFF par ImageIO. L’affichage d’une image TIFF malveillante peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code. Cette mise à jour résout le problème grâce à un traitement amélioré des images TIFF. Ce problème est résolu dans les systèmes exécutant Mac OS X 10.5.5 ou version ultérieure et dans les systèmes Mac OS X 10.4.11 auxquels la mise à jour de sécurité 2008-006 a été appliquée. Nous remercions Robert Swiecki, de la Google Security Team, d’avoir signalé ce problème.
Safari
Référence CVE : CVE-2008-3608
Disponible pour : Windows XP ou Vista
Conséquence : l’affichage d’une grande image JPEG malveillante peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code.
Description : un problème de corruption de la mémoire existe dans la gestion des profils ICC intégrés dans les images JPEG par ImageIO. L’affichage d’une grande image JPEG malveillante peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code. Cette mise à jour résout le problème grâce à un traitement amélioré des profils ICC. Ce problème est résolu dans les systèmes exécutant Mac OS X 10.5.5 ou version ultérieure et dans les systèmes Mac OS X 10.4.11 auxquels la mise à jour de sécurité 2008-006 a été appliquée. Source : Apple.
Safari
Référence CVE : CVE-2008-3642
Disponible pour : Windows XP ou Vista
Conséquence : l’affichage d’une image malveillante peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code.
Description : un problème de dépassement de la mémoire tampon existe dans la gestion des images avec un profil ICC intégré. L’ouverture d’une image malveillante avec un profil ICC intégré peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code. Cette mise à jour résout le problème en procédant à une validation supplémentaire des profils ICC des images. Ce problème ne concerne pas les systèmes Mac OS X auxquels la mise à jour de sécurité 2008-007 a été appliquée. Source : Apple.
Safari
Référence CVE : CVE-2008-3644
Disponible pour : Mac OS X 10.4.11, Mac OS X 10.5.5, Windows XP ou Vista
Conséquence : des informations sensibles peuvent être divulguées à un utilisateur de la console locale
Description : la désactivation du remplissage automatique dans un champ de formulaire n’empêche pas les données du champ d’être stockées dans le cache de la page du navigateur. Cela peut conduire à la divulgation d’informations sensibles à un utilisateur local. Cette mise à jour résout le problème en supprimant correctement les données du formulaire. Nous remercions un chercheur anonyme d’avoir signalé ce problème.
WebKit
Référence CVE : CVE-2008-2303
Disponible pour : Mac OS X 10.4.11, Mac OS X 10.5.5, Windows XP ou Vista
Conséquence : la consultation d’un site web malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code.
Description : un problème de signature dans la gestion des index de tableau JavaScript par Safari peut être à l’origine d’un accès à la mémoire hors limites. La consultation d’un site web malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code. Cette mise à jour résout le problème en procédant à une validation supplémentaire des index de tableau JavaScript. Nous remercions SkyLined de Google d’avoir signalé ce problème.
WebKit
Référence CVE : CVE-2008-2317
Disponible pour : Mac OS X 10.4.11, Mac OS X 10.5.5, Windows XP ou Vista
Conséquence : la consultation d’un site web malveillant peut entraîner une fermeture inopinée de l’application ou l’exécution arbitraire de code
Description : un problème de corruption de la mémoire existe dans la gestion des éléments de feuille de style par WebCore. La consultation d’un site web malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code. Cette mise à jour résout le problème par une amélioration de la récupération automatique de la mémoire. Merci à un chercheur anonyme travaillant en collaboration avec le programme Zero Day Initiative de TippingPoint d’avoir signalé ce problème.
WebKit
Référence CVE : CVE-2008-4216
Disponible pour : Mac OS X 10.4.11, Mac OS X 10.5.5, Windows XP ou Vista
Conséquence : la consultation d’un site web malveillant peut entraîner la divulgation d’informations sensibles
Description : l’interface du module WebKit n’empêche pas les modules de lancer des URL locales. La consultation d’un site web malveillant peut permettre à un attaquant distant de lancer des fichiers locaux dans Safari, ce qui peut entraîner la divulgation d’informations sensibles. Cette mise à jour résout le problème en limitant les types d’URL qui peuvent être lancés via l’interface de modules. Nous remercions Billy Rios, de Microsoft, et Nitesh Dhanjani, d’Ernst & Young, d’avoir signalé ce problème.
Important : les mentions de sites web et de produits tiers ne sont fournies qu’à titre indicatif et ne constituent ni une recommandation ni une approbation d’Apple. Apple n’assume aucune responsabilité en ce qui concerne la sélection, les performances ou l’utilisation des informations ou des produits disponibles sur les sites web tiers. Apple fournit ces informations uniquement pour rendre service à ses utilisateurs. Apple n’a pas vérifié les informations qui se trouvent sur lesdits sites et n’effectue aucune déclaration concernant leur exactitude ou leur fiabilité. L’utilisation d’informations ou de produits trouvés sur Internet comporte des risques, et Apple n’assume aucune responsabilité à cet égard. Veuillez noter que les sites web tiers sont indépendants d’Apple et qu’Apple n’a aucun contrôle sur leur contenu. Veuillez contacter le fournisseur pour obtenir plus d’informations.