Mengenai konten keamanan Safari 3.1.1

Dokumen ini menjelaskan konten keamanan Safari 3.1.1, yang dapat diunduh dan diinstal melalui preferensi Pembaruan Perangkat Lunak atau dari Unduhan Apple.

Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk informasi tentang Kunci PGP Keamanan Produk Apple, baca “Cara menggunakan Kunci PGP Keamanan Produk Apple”.

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, baca “Pembaruan Keamanan Apple”.

Safari 3.1.1

Safari

CVE-ID: CVE-2007-2398

Tersedia untuk: Windows XP atau Vista

Dampak: Situs web perusak yang berbahaya dapat mengontrol konten bar alamat.

Deskripsi: Masalah waktu di Safari 3.1 memungkinkan halaman web mengubah konten bar alamat tanpa memuat konten halaman yang sesuai. Ini dapat digunakan untuk merusak konten pada situs yang sah, sehingga memungkinkan pengumpulan kredensial pengguna atau informasi lain. Masalah ini telah diatasi di Safari Beta 3.0.2, tetapi muncul kembali di Safari 3.1. Pembaruan ini mengatasi masalah tersebut dengan memulihkan konten bar alamat jika permintaan untuk halaman web baru dihentikan. Masalah ini tidak memengaruhi sistem Mac OS X.

Safari

CVE-ID: CVE-2008-1024

Tersedia untuk: Windows XP atau Vista

Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer.

Deskripsi: Terdapat masalah kerusakan memori dalam pengunduhan file Safari. Dengan memancing pengguna untuk mengunduh file dengan nama yang ditulis secara berbahaya, penyerang dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut melalui penanganan unduhan file yang ditingkatkan. Masalah ini tidak memengaruhi sistem Mac OS X.

WebKit

CVE-ID: CVE-2008-1025

Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2, Windows XP atau Vista

Dampak: Mengunjungi situs web berbahaya dapat mengakibatkan skrip lintas situs.

Deskripsi: Terdapat masalah dalam penanganan URL WebKit yang berisi karakter titik dua di nama host. Membuka URL perusak yang berbahaya dapat menyebabkan serangan skrip lintas situs. Pembaruan ini mengatasi masalah melalui penanganan URL yang ditingkatkan. Terima kasih kepada Robert Swecki dari Tim Keamanan Informasi Google dan David Bloom karena telah melaporkan masalah ini.

WebKit

CVE-ID: CVE-2008-1026

Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2, Windows XP atau Vista

Dampak: Menampilkan halaman web perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer.

Deskripsi: Terdapat kelebihan buffer tumpukan dalam penanganan ekspresi reguler JavaScript pada WebKit. Masalah ini dapat dipicu melalui JavaScript saat memproses ekspresi reguler dengan jumlah pengulangan besar yang ditumpuk. Hal ini dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah dengan melakukan validasi tambahan terhadap ekspresi umum JavaScript. Terima kasih kepada Charlie Miller, Jake Honoroff, dan Mark Daniel yang bekerja sama dengan Zero Day Initiative dari TippingPoint karena telah melaporkan masalah ini.