À propos du contenu sécuritaire de Safari 3 Beta Update 3.0.3

This article has been archived and is no longer updated by Apple.

Ce document décrit le contenu sécuritaire inclus dans la mise à jour Safari 3 Beta Update 3.0.3, qui peut être téléchargée et installée grâce à l’option Mise à jour de logiciels ou depuis la page des Téléchargements Apple.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été menée et que des correctifs ou mises à jour ne sont pas mis à disposition. Pour en savoir plus sur la sécurité des produits Apple, consultez la page Sécurité produit d’Apple.

Pour plus d’informations sur la clé PGP de sécurité des produits Apple, consultez l’article «Comment utiliser la clé PGP de sécurité des produits Apple».

Lorsque cela est possible, des références CVE sont utilisées afin de référencer les vulnérabilités pour plus d’informations.

Pour connaître les autres mises à jour de sécurité, consultez l’article «Mises à jour de sécurité Apple».
 

Safari 3 Beta Update 3.0.3

  • Safari

    Références CVE: CVE-2007-3743

    Disponible pour: Windows XP ou Vista

    Conséquences: l’ajout de signets peut conduire à un blocage inattendu d’application ou à l’exécution de code quelconque.

    Description: il existe une vulnérabilité de dépassement de la mémoire tampon de la pile dans la gestion des signets de Safari. En poussant un utilisateur à ajouter un signet avec un nom excessivement long, un attaquant peut déclencher le problème, qui est susceptible de mener à un blocage inattendu d’application ou à l’exécution d’un code quelconque. Cette mise à jour résout le problème en effectuant des contrôles adéquats de limitation des zones adressables. Ce risque est absent dans les systèmes Mac OS X.

  • WebKit

    Références CVE: CVE-2007-2408

    Disponible pour: Mac OS X v10.4.9 ou ultérieure, Windows XP ou Vista

    Conséquences: la consultation d’un site web construit de manière malveillante peut permettre le chargement et l’exécution d’applets Java, même si Java est désactivé.

    Description: Safari est doté d’une préférence «Activer Java», qui, lorsqu’elle est désactivée devrait empêcher le chargement d’applets Java. Par défaut, le chargement des applets Java est autorisé. Naviguer jusqu’à une page web construite de manière malveillante peut permettre le chargement d’une applet Java sans vérifier la préférence. Cette mise à jour corrige le problème par une vérification plus stricte de la préférence «Activer Java». Nous remercions Scott Wilde pour avoir signalé ce problème.

  • WebKit

    Références CVE: CVE-2007-3742

    Disponible pour: Mac OS X v10.4.9 ou ultérieure, Windows XP ou Vista

    Conséquences: des caractères semblables dans une URL pourraient être utilisés pour usurper un site web.

    Description: la prise en charge des noms internationaux de domaines (IDN) et les polices Unicode intégrées à Safari pourraient être utilisées pour créer une URL contenant des caractères semblables. Ceux-ci pourraient être utilisés dans un site web malveillant pour diriger l’utilisateur vers un faux site qui apparaît visuellement comme un domaine légitime. Cette mise à jour corrige le problème par un contrôle de validité amélioré des noms de domaines.

  • WebKit

    Références CVE: CVE-2007-3944

    Disponible pour: Mac OS X v10.4.9 ou ultérieure, Windows XP ou Vista

    Conséquences: l’affichage d’une page web construite de manière malveillante peut conduire à l’exécution de code quelconque.

    Description: il existe des dépassements de la mémoire tampon dans la bibliothèque d’expressions régulières compatibles Perl (PCRE) utilisée par le moteur JavaScript de Safari. En poussant un utilisateur à consulter une page web construite de manière malveillante, un attaquant peut déclencher le problème susceptible de mener à l’exécution de code quelconque. Cette mise à jour résout le problème en réalisant des validations supplémentaires des expressions régulières JavaScript. Nous remercions Charlie Miller et Jake Honoroff d’Independent Security Evaluators pour avoir signalé ces problèmes.

Published Date: 10 oct. 2016