Over de beveiligingsinhoud van Safari 3.2

In dit document wordt de beveiligingsinhoud van Safari 3.2 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.

Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

Safari 3.2

  • Safari

    CVE-ID: CVE-2005-2096

    Beschikbaar voor: Windows XP of Vista

    Impact: verschillende kwetsbaarheden in zlib 1.2.2

    Beschrijving: er is sprake van verschillende kwetsbaarheden in zlib 1.2.2, waarvan de ernstigste een denial of service kan veroorzaken. In deze update wordt het probleem verholpen middels een update van zlib 1.2.3. Deze problemen zijn niet van invloed op systemen met Mac OS X. Met dank aan Robbie Joosten van bioinformatics@school, en David Gunnells van de University of Alabama in Birmingham voor het melden van deze problemen.

  • Safari

    CVE-ID: CVE-2008-1767

    Beschikbaar voor: Windows XP of Vista

    Impact: het verwerken van een XML-document kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er treedt een heapbufferoverloop op in de bibliotheek libxslt. Het weergeven van een kwaadwillig vervaardigde HTML-pagina kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Meer informatie over de toegepaste patch is beschikbaar via http://xmlsoft.org/XSLT/ Dit probleem heeft geen invloed op Mac OS X-systemen met beveiligingsupdate 2008-007. Met dank aan Anthony de Almeida Lopes van Outpost24 AB en Chris Evans van het Google Security Team voor het melden van dit probleem.

  • Safari

    CVE-ID: CVE-2008-3623

    Beschikbaar voor: Windows XP of Vista

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is sprake van overloop van een heapbuffer tijdens de verwerking van kleurruimten door CoreGraphics. Het bekijken van een kwaadwillig vervaardigde afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door verbeterde bereikcontrole. Met dank aan Apple.

  • Safari

    CVE-ID: CVE-2008-2327

    Beschikbaar voor: Windows XP of Vista

    Impact: het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: de aanpak van libTIFF voor LZW-gecodeerde TIFF-afbeeldingen bevat meerdere problemen met niet-gestarte geheugentoegang. Het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door geschikte geheugeninitialisatie en aanvullende validatie van TIFF-afbeeldingen. Dit probleem is verholpen op systemen met Mac OS X v10.5.5 of nieuwer en op systemen met Mac OS X v10.4.11 met beveiligingsupdate 2008-006. Met dank aan Apple.

  • Safari

    CVE-ID: CVE-2008-2332

    Beschikbaar voor: Windows XP of Vista

    Impact: het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een probleem met geheugencorruptie bij het verwerken van TIFF-afbeeldingen door ImageIO. Het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door verbeterde verwerking van TIFF-afbeeldingen. Dit probleem is verholpen op systemen met Mac OS X v10.5.5 of nieuwer en op systemen met Mac OS X v10.4.11 met beveiligingsupdate 2008-006. Met dank aan Robert Swiecki van het Google Security Team voor het melden van dit probleem.

  • Safari

    CVE-ID: CVE-2008-3608

    Beschikbaar voor: Windows XP of Vista

    Impact: het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een probleem met geheugenbeschadiging in ImageIO's verwerking van ingesloten ICC-profielen in JPEG-afbeeldingen. Het bekijken van een grote kwaadwillig vervaardigde JPEG-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door verbeterde verwerking van ICC-profielen. Dit probleem is verholpen op systemen met Mac OS X v10.5.5 of nieuwer en op systemen met Mac OS X v10.4.11 met beveiligingsupdate 2008-006. Met dank aan Apple.

  • Safari

    CVE-ID: CVE-2008-3642

    Beschikbaar voor: Windows XP of Vista

    Impact: het bekijken van een kwaadwillig vervaardigde afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: de verwerking van afbeeldingen met een ingebed ICC-profiel kan leiden tot een bufferoverloop. Het openen van een kwaadwillig vervaardigde afbeelding met een ingebed ICC-profiel kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door aanvullende validatie van ICC-profielen in afbeeldingen uit te voeren. Dit probleem is niet van invloed op Mac OS X-systemen met beveiligingsupdate 2008-007. Met dank aan Apple.

  • Safari

    CVE-ID: CVE-2008-3644

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP of Vista

    Impact: gevoelige informatie kan worden vrijgegeven aan lokale console-gebruiker

    Beschrijving: als het automatisch invullen van een veld wordt uitgeschakeld, voorkomt mogelijk niet dat de gegevens in het veld worden opgeslagen in de cache van de browserpagina. Dit kan leiden tot de vrijgave van gevoelige informatie aan een lokale gebruiker. Deze update verhelpt het probleem door de formuliergegevens daadwerkelijk te wissen. Met dank aan een anonieme onderzoeker voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2008-2303

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP of Vista

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: een probleem met ondertekening bij het verwerken van JavaScript-arrayindexen in Safari kan leiden tot ongeoorloofde geheugentoegang. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. In deze update wordt het probleem verholpen door aanvullende validatie uit te voeren op JavaScript-arrayindexen. Met dank aan SkyLined van Google voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2008-2317

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP of Vista

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is sprake van een probleem met geheugencorruptie bij het verwerken van opmaakmodelelementen door WebCore. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. In deze update wordt het probleem verholpen door verbeterde garbagecollection. Met dank aan een anonieme onderzoeker in samenwerking met het Zero Day Initiative van TippingPoint voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2008-4216

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP or Vista

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot openbaarmaking van gevoelige informatie

    Beschrijving: de plugininterface van WebKit blokkeert het openen van lokale URL's door plugins niet. Een bezoek aan een kwaadwillig vervaardigde website kan ervoor zorgen dat een externe aanvaller lokale bestanden start in Safari. Dit kan leiden tot de openbaarmaking van gevoelige informatie. Deze update lost het probleem op door de typen URL's te beperken die via de plugininterface kunnen worden gestart. Met dank aan Billy Rios van Microsoft en Nitesh Dhanjani van Ernst & Young voor het melden van dit probleem.

Belangrijk: De vermelding van websites en producten van derden is alleen bedoeld ter informatie en impliceert niet dat wij deze websites of producten goedkeuren of aanbevelen. Apple aanvaardt geen verantwoordelijkheid met betrekking tot de selectie, prestaties of het gebruik van informatie of producten op websites van derden. Apple biedt dit alleen aan voor het gemak van onze gebruikers. Apple heeft de informatie op deze sites niet getest en doet geen uitspraken over de juistheid of betrouwbaarheid ervan. Er zijn risico's verbonden aan het gebruik van informatie of producten die op internet worden gevonden en Apple aanvaardt in dit verband geen enkele verantwoordelijkheid. Het is belangrijk om je te realiseren dat een site van derden onafhankelijk is van Apple en dat Apple geen controle heeft over het materiaal op die website. Neem voor meer informatie contact op met de leverancier.

Publicatiedatum: