De beveiliging van Safari 3 Beta Update 3.0.4

This article has been archived and is no longer updated by Apple.

In dit document wordt de beveiliging beschreven van de Safari 3 Beta Update 3.0.4 voor Microsoft Windows XP of Vista.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet tot een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Raadpleeg de website Apple Product Security voor meer informatie over de beveiliging van Apple-producten.

Zie "Hoe gebruikt u de Apple Product Security PGP-sleutel?" voor meer informatie over het gebruik van de Apple Product Security PGP-sleutel.

Waar mogelijk worden CVE-ID's gebruikt om kwetsbare punten te refereren voor nadere informatie.

Zie "Apple Security-updates" voor meer informatie over overige beveiligingsupdates.

Safari 3 Beta Update 3.0.4

  • Safari

    CVE-ID: CVE-2007-4692

    Beschikbaar voor: Windows XP of Vista

    Impact: Een probleem bij het browsen in Safari Tabbed kan leiden tot de bekendmaking van persoonlijke gegevens van gebruikers.

    Beschrijving: In de Tabbed-browsingfunctie van Safari doet zich een implementatieprobleem voor. Als een site wordt geladen die HTTP-verificatie gebruikt in een andere dan de actieve tab, kan er een verificatieblad worden weergegeven, ook al zijn de tab en de bijbehorende pagina niet zichtbaar. De gebruiker kan dit blad beschouwen als afkomstig van de op dat moment actieve pagina, en dit kan leiden tot de bekendmaking van gebruikersgegevens. In deze update wordt het probleem verholpen dankzij een verbeterde afhandeling van verificatiebladen. Dank aan Michael Roitzsch van de Technische Universiteit Dresden voor het melden van dit probleem.

  • Safari

    CVE-ID: CVE-2007-1351, CVE-2007-1352, CVE-2007-2754

    Beschikbaar voor: Windows XP of Vista

    Impact: Meerdere kwetsbare punten in FreeType v2.2.1

    Beschrijving: In FreeType v2.2.1 doen zich meerdere kwetsbare punten voor, waarvan de ernstigste kan leiden tot uitvoering van willekeurige code. In deze update wordt het probleem verholpen door een update van FreeType naar versie 2.3.5. Breng voor meer informatie een bezoek aan de FreeType-website op http://www.freetype.org/.

  • WebCore

    CVE-ID: CVE-2007-3758

    Beschikbaar voor: Windows XP of Vista

    Impact: Een bezoek aan een kwaadwillende website kan leiden tot cross-site scripting.

    Beschrijving: Dankzij een cross-site scriptingprobleem in Safari kunnen kwaadwillende websites JavaScript-venstereigenschappen instellen van websites die vanuit een ander domein worden bediend. Door de gebruiker aan te zetten een bezoek te brengen aan een met slechte intenties geschreven website kan een agressor kans zien de vensterstatus en -locatie op te halen of in te stellen van pagina's die worden bediend vanuit andere websites. In deze update wordt dit probleem verholpen dankzij een verbeterde toegangsregeling voor deze eigenschappen. Dank aan Michal Zalewski van Google Inc. voor het melden van dit probleem.

  • WebCore

    CVE-ID: CVE-2007-3760

    Beschikbaar voor: Windows XP of Vista

    Impact: Een bezoek aan een kwaadwillende website kan leiden tot cross-site scripting.

    Beschrijving: Dankzij een cross-site scriptingprobleem in Safari kan een kwaadwillende website het beleid voor dezelfde oorsprong negeren door embedded objects te hosten met URL's in JavaScript. Door een gebruiker aan te zetten een bezoek te brengen aan een met slechte intenties geschreven website kan een agressor ervoor zorgen dat JavaScript wordt uitgevoerd in de context van een andere website. In deze update wordt het probleem verholpen door het gebruik van het javascript URL-schema te beperken en extra oorsprongvalidatie toe te voegen voor deze URL's. Dank aan Michal Zalewski van Google Inc. en Secunia Research voor het melden van dit probleem.

  • WebCore

    CVE-ID: CVE-2007-3756

    Beschikbaar voor: Windows XP of Vista

    Impact: Bezoek aan een kwaadwillende website kan leiden tot de bekendmaking van URL-inhoud.

    Beschrijving: Safari kan een webpagina toestemming geven de URL te lezen die momenteel in het hoofdvenster wordt weergegeven. Door een gebruiker aan te zetten een bezoek te brengen aan een met slechte intenties geschreven website kan een agressor de URL verkrijgen van een niet-gerelateerde pagina. In deze update wordt het probleem verholpen door middel van een verbeterde cross-domain beveiligingscontrole Dank aan Michal Zalewski van Google Inc. en Secunia Research voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2007-4671

    Beschikbaar voor: Windows XP of Vista

    Impact: JavaScript op websites kan toegang geven tot, of manipulatief gebruikmaken van, de inhoud van documenten die worden bediend via HTTPS

    Beschrijving: Vanwege een probleem in Safari kan inhoud die via HTTP wordt bediend veranderingen aanbrengen in, of toegang krijgen tot, inhoud die wordt bediend via HTTPS in hetzelfde domein. Door een gebruiker aan te zetten een bezoek te brengen aan een met slechte intenties geschreven website kan een agressor ervoor zorgen dat JavaScript wordt uitgevoerd in de context van HTTPS-webpagina's in dat domein. In deze update wordt het probleem verholpen door te voorkomen dat JavaScript vanuit HTTP toegang krijgt tot HTTPS-frames. Dank aan Keigo Yamazaki van LAC Co., Ltd. (Little eArth Corporation Co., Ltd.) voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2007-4698

    Beschikbaar voor: Windows XP of Vista

    Impact: Een bezoek aan een kwaadwillende website kan leiden tot cross-site scripting.

    Beschrijving: In Safari kunnen JavaScript-events worden gekoppeld aan het verkeerde frame. Door een gebruiker aan te zetten een bezoek te brengen aan een met slechte intenties geschreven website kan een agressor ervoor zorgen dat JavaScript wordt uitgevoerd in de context van een andere website. In deze update wordt het probleem verholpen door JavaScript-events te koppelen aan het juiste sourceframe.

  • WebKit

    CVE-ID: CVE-2007-4812

    Beschikbaar voor: Windows XP of Vista

    Impact: Een bezoek aan een kwaadwillende website kan leiden tot uitvoering van willekeurige code.

    Beschrijving: Safari heeft een statusbalk met een buffer-overflow. Door een gebruiker aan te zetten tot bezoek aan een met slechte intenties geschreven webpagina kan een agressor zorgen voor uitvoering van willekeurige code. In deze update wordt het probleem verholpen door de behandeling van de statusbalk opnieuw te implementeren.

Published Date: 11 okt. 2016