Over de beveiligingsinhoud van Safari 3 Beta Update 3.0.3

This article has been archived and is no longer updated by Apple.

In dit document wordt de beveiligingsinhoud beschreven van de Safari 3 Beta Update 3.0.3, die gedownload en geïnstalleerd kan worden via de voorkeur Software Update of van Apple Downloads.

Ter bescherming van onze klanten worden er geen beveiligingskwesties openbaar gemaakt, besproken of bevestigd totdat er een volledig onderzoek heeft plaatsgevonden en de benodigde patches of versies beschikbaar zijn. Om meer te weten te komen over Apple's productbeveiliging, gaat u naar de website Apple productbeveiliging.

Voor informatie over de Apple PGP-sleutel voor productbeveiliging, raadpleegt u "Zo gebruikt u de Apple PGP-sleutel voor productbeveiliging".

Indien mogelijk worden er voor verdere informatie CVE-ID's gebruikt voor verwijzing naar deze kwetsbaarheden.

Om meer te lezen over andere beveiligingsupdates, gaat u naar "Apple beveiligingsupdates".
 

Safari 3 Beta Update 3.0.3

  • Safari

    CVE-ID: CVE-2007-3743

    Beschikbaar voor: Windows XP of Vista

    Effect: Het toevoegen van bladwijzers kan leiden tot het onverwacht afsluiten van een programma of de uitvoering van willekeurige code

    Omschrijving: Er bestaat een kwetsbaarheid in de vorm van een stack-bufferoverloop in de afhandeling van bladwijzers door Safari. Door een gebruiker te verleiden een bladwijzer met een te lange titel toe te voegen, kan een aanvaller het probleem activeren, wat kan leiden tot het onverwacht afsluiten van een programma of de uitvoering van willekeurige code. Deze update verhelpt dit probleem door de juiste grenscontrole uit te voeren. Dit probleem geldt niet voor Mac OS X-systemen.

  • WebKit

    CVE-ID: CVE-2007-2408

    Beschikbaar voor: Mac OS X v10.4.9 of hoger, Windows XP of Vista

    Effect: Het bezoeken van een kwaadaardige website kan ertoe leiden dat Java-applets worden geladen en uitgevoerd, zelfs wanneer Java uitgeschakeld is

    Omschrijving: Safari voorziet in een voorkeur om Java in te schakelen. Wanneer deze optie uitgeschakeld is, wordt het laden van Java-applets voorkomen. Standaard is het toegestaan om Java-applets te laden. Het navigeren naar een kwaadwillig vervaardigde webpagina kan ertoe leiden dat een Java-applet wordt geladen, zonder dat deze voorkeur wordt gecontroleerd. Deze update verhelpt dit probleem via een striktere controle van de voorkeur voor het inschakelen van Java. Met dank aan Scott Wilde voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2007-3742

    Beschikbaar voor: Mac OS X v10.4.9 of hoger, Windows XP of Vista

    Effect: Gelijk uitziende tekens in een URL kunnen worden gebruikt om een website te maskeren

    Omschrijving: De ondersteuning van IDN (International Domain Name) en Unicode-lettertypen die zijn geïntegreerd in Safari, kunnen worden gebruikt om een URL te maken die gelijk uitziende tekens bevat. Deze kunnen worden gebruikt in een kwaadaardige website om de gebruiker door te sturen naar een bedrieglijke site die er uit lijkt te zien als een legitiem domein. Deze update verhelp dit probleem via een verbeterde geldigheidscontrole voor domeinnamen.

  • WebKit

    CVE-ID: CVE-2007-3944

    Beschikbaar voor: Mac OS X v10.4.9 of hoger, Windows XP of Vista

    Effect: Het bekijken van een kwaadaardig vervaardigde webpagina kan leiden tot de uitvoering van willekeurige code

    Omschrijving: Er bestaan heap-bufferoverlopen in de PCRE-bibliotheek (Perl Compatible Regular Expressions) die wordt gebruikt door de JavaScript-engine in Safari. Door een gebruiker te verleiden een kwaadwillig vervaardigde webpagina te bezoeken, kan een aanvaller dit probleem activeren en dat kan leiden tot de uitvoering van willekeurige code. Deze update verhelpt dit probleem door een extra validatie van reguliere JavaScript-expressies uit te voeren. Met dank aan Charlie Miller en Jake Honoroff van Independent Security Evaluators voor het melden van deze problemen.

Published Date: 10 okt. 2016