À propos du contenu sécuritaire de la mise à jour 3.0.4 de Safari 3 bêta

This article has been archived and is no longer updated by Apple.

Ce document décrit le contenu sécuritaire de la mise à jour 3.0.4 de Safari 3 bêta pour Microsoft Windows XP ou Vista.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été menée et que des correctifs ou mises à jour ne sont pas mis à disposition. Pour en savoir plus sur la sécurité des produits consultez la page Apple Product Security du site Web d’Apple.

Pour plus d’informations sur la clé PGP de sécurité des produits Apple, consultez l’article « Comment utiliser la clé PGP de sécurité des produits Apple ».

Lorsque cela est possible, des références CVE sont utilisées afin de référencer les vulnérabilités pour plus d’informations.

Pour connaître les autres mises à jour de sécurité disponibles, consultez l’article « Mises à jour de sécurité Apple ».

Mise à jour 3.0.4 de Safari 3 bêta

  • Safari

    Références CVE : CVE-2007-4692

    Disponible pour : Windows XP ou Vista

    Conséquences : la navigation par onglets de Safari peut entraîner la divulgation d'informations confidentielles concernant l'utilisateur

    Description : la fonctionnalité de navigation par onglets de Safari peut provoquer un problème d'implémentation. Si un site chargé dans un onglet autre que l'onglet actif utilise l'authentification HTTP, il se peut que la fenêtre d'authentification apparaisse alors que l'onglet et la page correspondante ne sont pas visibles. L'utilisateur risque alors de croire que cette fenêtre d'authentification concerne la page active, ce qui peut entraîner la divulgation d'informations confidentielles le concernant. Cette mise à jour résout le problème par une gestion améliorée des fenêtres d'authentification. Merci à Michael Roitzsch de l'Université Technique de Dresde d'avoir signalé ce problème.

  • Safari

    Références CVE : CVE-2007-1351, CVE-2007-1352 et CVE-2007-2754

    Disponible pour : Windows XP ou Vista

    Conséquences : diverses vulnérabilités dans FreeType v2.2.1

    Description : FreeType v2.2.1 présente diverses vulnérabilités dont les plus graves peuvent entraîner l'exécution de code arbitraire. Ce problème est corrigé par la mise à jour de FreeType vers la version 2.3.5. Pour plus de renseignements, consultez le site de FreeType à l'adresse http://www.freetype.org/

  • WebCore

    Références CVE : CVE-2007-3758

    Disponible pour : Windows XP ou Vista

    Conséquences : la consultation de sites Web malveillants peut provoquer un scriptage inter-sites

    Description : Safari présente un problème de scriptage inter-sites qui permet à des sites Web malveillants de définir les propriétés de fenêtres JavaScript de sites Web servis par un autre domaine. En incitant l'utilisateur à aller sur une page Web malveillante, un pirate informatique peut récupérer ou définir le statut de la fenêtre et l'emplacement des pages servies depuis d'autres sites Web. Cette mise à jour résout le problème grâce à une amélioration des contrôles d'accès de ces propriétés. Merci à Michal Zalewski de Google Inc. d'avoir signalé ce problème.

  • WebCore

    Références CVE : CVE-2007-3760

    Disponible pour : Windows XP ou Vista

    Conséquences : la consultation de sites Web malveillants peut provoquer un scriptage inter-sites

    Description : Safari présente un problème de scriptage inter-sites qui permet à un site Web malveillant de contourner la règle d'origine commune en hébergeant des objets incorporés avec des URL JavaScript. En incitant l'utilisateur à consulter une page Web malveillante, un pirate informatique peut lancer l'exécution de JavaScript dans le cadre d'un autre site. Cette mise à jour résout le problème en limitant l'utilisation du schéma URL Javascript et en renforçant la validation d'origine de ces URL. Merci à Michal Zalewski de Google Inc. et Secunia Research d'avoir signalé ce problème.

  • WebCore

    Références CVE : CVE-2007-3756

    Disponible pour : Windows XP ou Vista

    Conséquences : la consultation de sites Web malveillants peut provoquer la divulgation de contenus d'URL

    Description : Safari présente un problème permettant à une page Web de lire l'URL affichée dans sa fenêtre mère. En incitant l'utilisateur à consulter une page Web malveillante, un pirate informatique peut obtenir l'URL d'une autre page. Cette mise à jour résout le problème par une amélioration des contrôles de sécurité entre les domaines. Merci à Michal Zalewski de Google Inc. et Secunia Research d'avoir signalé ce problème.

  • WebKit

    Références CVE : CVE-2007-4671

    Disponible pour : Windows XP ou Vista

    Conséquences : JavaScript sur certains sites Web peut accéder au contenu de documents servis via HTTPS ou le modifier

    Description : dans Safari, le contenu servi via HTTP peut accéder au contenu servi via HTTPS dans le même domaine ou le modifier. En incitant l'utilisateur à consulter une page Web malveillante, un pirate informatique peut provoquer l'exécution de JavaScript dans le cadre de pages Web HTTPS de ce domaine. Cette mise à jour résout le problème en bloquant l'accès JavaScript des cadres HTTP aux cadres HTTPS. Merci à Keigo Yamazaki de LAC Co., Ltd. (Little eArth Corporation Co., Ltd.) d'avoir signalé ce problème.

  • WebKit

    Références CVE : CVE-2007-4698

    Disponible pour : Windows XP ou Vista

    Conséquences : la consultation de sites Web malveillants peut provoquer un scriptage inter-sites

    Description : Safari présente un problème entraînant l'association d'événements JavaScript à la mauvaise balise frame. En incitant l'utilisateur à consulter une page Web malveillante, un pirate informatique peut lancer l'exécution de JavaScript dans le cadre d'un autre site. Cette mise à jour résout le problème en associant les événements JavaScript à la balise frame source appropriée.

  • WebKit

    Références CVE : CVE-2007-4812

    Disponible pour : Windows XP ou Vista

    Conséquences : la consultation de sites Web malveillants peut entraîner l'exécution de code arbitraire

    Description : la gestion de la barre d'état dans Safari présente un problème permettant un dépassement de la mémoire tampon. En incitant l'utilisateur à aller sur une page Web malveillante, un pirate informatique peut provoquer l'exécution de code arbitraire. Cette mise à jour résout le problème avec une gestion corrigée de la barre d'état.

Published Date: 11 oct. 2016