Over de beveiligingsinhoud van Safari 4.0

In dit document wordt de beveiligingsinhoud van Safari 4.0 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.

Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Zie Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

Safari 4.0

  • CFNetwork

    CVE-ID: CVE-2009-1704

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP of Vista

    Impact: gedownloade afbeeldingsbestanden kunnen verkeerd geïdentificeerd worden als HTML, wat kan leiden tot het uitvoeren van JavaScript zonder de gebruiker te waarschuwen

    Beschrijving: afbeeldingsbestanden zijn 'veilige' typen die, zodra ze zijn gedownload, door Safari worden weergegeven zonder de gebruiker te waarschuwen. Door een probleem in Safari kan het bestandstype van bepaalde lokale afbeeldingsbestanden mogelijk niet worden geïdentificeerd. In dat geval zal Safari de inhoud van die bestanden onderzoeken en mogelijk als HTML behandelen. Als een bestand JavaScript bevat, wordt het uitgevoerd in de lokale context. Bij een gedownload bestand mag dit niet gebeuren zonder eerst de gebruiker te vragen. Dit probleem wordt verholpen door bestanden van onbekend typen te behandelen als generieke binaire gegevens en door de afbeeldingsbestandstypen waarvan bekend is dat ze dit probleem hebben, correct te identificeren. Met dank aan Sergio 'shadown' Alvarez van Recurity Labs GmbH voor het melden van dit probleem.

  • CFNetwork

    CVE-ID: CVE-2009-1716

    Beschikbaar voor: Windows XP of Vista

    Impact: een lokale gebruiker kan mogelijk de inhoud lezen van bestanden die door andere gebruikers worden gedownload

    Beschrijving: CFNetwork maakt op een onveilige manier tijdelijke bestanden tijdens het downloaden. Een lokale gebruiker kan toegang krijgen tot de bestanden van een andere gebruiker terwijl ze worden gedownload, wat kan leiden tot de onthulling van gevoelige informatie. Deze update verhelpt het probleem door bestanden te downloaden naar de veilige tijdelijke maplocatie van de gebruiker. Voor systemen met Mac OS X wordt dit probleem verholpen in Mac OS X v10.5.6. Met dank aan Billy Rios en Microsoft Vulnerability Research voor het melden van dit probleem.

  • CoreGraphics

    CVE-ID: CVE-2008-2321

    Beschikbaar voor: Window XP of Vista

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: CoreGraphics bevat problemen met geheugenbeschadiging bij de verwerking van argumenten. Het doorsturen van onbetrouwbare invoer naar CoreGraphics via een programma, zoals een webbrowser, kan leiden tot onverwachte beëindiging van een programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door verbeterde bereikcontrole. Voor systemen met Mac OS X wordt dit probleem verholpen in beveiligingsupdate 2008-005. Met dank aan Michal Zalewski van Google Inc. voor het melden van dit probleem.

  • CoreGraphics

    CVE-ID: CVE-2009-1705

    Beschikbaar voor: Windows XP of Vista

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is sprake van een probleem met geheugenbeschadiging bij het verwerken van TrueType-lettertypen. Een rekenkundig probleem in de automatische hinting van lettertypen kan geheugenbeschadiging veroorzaken. Een bezoek aan een kwaadwillig vervaardigde website met ingesloten lettertypen kan leiden tot onverwachte beëindiging van een programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door verbeterde invoervalidatie van TrueType-lettertypegegevens. Dit probleem is niet van invloed op systemen met Mac OS X. Met dank aan Clint Ruoho van Laconic Security en Tavis Ormandy van het Google Security Team voor het melden van dit probleem.

  • CoreGraphics

    CVE-ID: CVE-2009-0946

    Beschikbaar voor: Windows XP of Vista

    Impact: meerdere kwetsbaarheden in FreeType v2.3.8

    Beschrijving: er zijn meerdere overlopen van hele getallen in FreeType v2.3.8, die kunnen leiden tot onverwachte beëindiging van een programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door verbeterde bereikcontrole. Deze problemen zijn niet van invloed op CoreGraphics op systemen met Mac OS X. Met dank aan Tavis Ormandy van het Google Security Team voor het melden van deze problemen.

  • CoreGraphics

    CVE-ID: CVE-2009-0145

    Beschikbaar voor: Windows XP of Vista

    Impact: het openen van een kwaadwillig vervaardigd pdf-bestand leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er treden meerdere problemen met geheugenbeschadiging op bij het verwerken van pdf-bestanden in CoreGraphics. Het openen van een kwaadwillig vervaardigd pdf-bestand kan het onverwacht beëindigen van het programma of uitvoering van willekeurige code tot gevolg hebben. Deze update verhelpt het probleem door verbeterde bereikcontrole en verbeterde foutcontrole. Voor systemen met Mac OS X v10.5 wordt dit probleem verholpen in Mac OS X v10.5.7. Voor systemen met Mac OS X v10.4.11 wordt dit probleem verholpen in beveiligingsupdate 2009-002.

  • CoreGraphics

    CVE-ID: CVE-2009-1179

    Beschikbaar voor: Windows XP of Vista

    Impact: het openen van een kwaadwillig vervaardigde pdf-bestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een overloop van hele getallen in de verwerking van pdf-bestanden met JBIG2-streams in CoreGraphics. Het openen van een pdf-bestand met een kwaadwillig vervaardigde JBIG2-stream kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door verbeterde bereikcontrole. Met dank aan Will Dormann van CERT/CC voor het melden van dit probleem.

  • ImageIO

    CVE-ID: CVE-2009-0040

    Beschikbaar voor: Windows XP of Vista

    Impact: het verwerken van een kwaadwillig vervaardigde PNG-afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een probleem met een niet-geïnitialiseerde aanwijzer bij de verwerking van PNG-afbeeldingen. Het verwerken van een kwaadwillig vervaardigde PNG-afbeelding kan leiden tot onverwachte beëindiging van de app of uitvoeren van willekeurige code. Deze update verhelpt het probleem door een extra validatie van PNG-afbeeldingen uit te voeren. Met dank aan Tavis Ormandy van het Google Security Team voor het melden van dit probleem.

  • International Components for Unicode

    CVE-ID: CVE-2009-0153

    Beschikbaar voor: Windows XP of Vista

    Impact: kwaadwillig vervaardigd materiaal kan websitefilters omzeilen en cross-site scripting tot gevolg hebben

    Beschrijving: er is sprake van een implementatieprobleem bij de verwerking door ICU van bepaalde tekencoderingen. Als je ICU gebruikt voor het converteren van ongeldige bytereeksen naar Unicode, kan dit overgebruik veroorzaken, waarbij volgbytes worden gezien als onderdeel van het oorspronkelijke teken. Een aanvaller kan hiervan gebruikmaken door filters op websites te omzeilen die cross-site scripting tegen proberen te gaan. In deze update wordt het probleem verholpen door een verbeterde verwerking van ongeldige bytereeksen. Voor systemen met Mac OS X v10.5 wordt dit probleem verholpen in Mac OS X v10.5.7. Met dank aan Chris Weber van Casaba Security voor het melden van dit probleem.

  • libxml

    CVE-ID: CVE-2008-3281, CVE-2008-3529, CVE-2008-4409, CVE-2008-4225, CVE-2008-4226

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP of Vista

    Impact: meerdere kwetsbaarheden in libxml2-versie 2.6.16

    Beschrijving: er is sprake van meerdere kwetsbaarheden in libxml2-versie 2.6.16, waarvan de ernstigste kunnen leiden tot onverwachte beëindiging van een programma of het uitvoeren van willekeurige code. In Windows worden de problemen verholpen door libxml2 bij te werken naar versie 2.7.3. In Mac OS X v10.4.11 en Mac OS X v10.5.7 worden de problemen verholpen door de relevante patches toe te passen.

  • Safari

    CVE-ID: CVE-2009-1682

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP of Vista

    Impact: bij een bezoek aan een website met een ingetrokken EV-certificaat wordt mogelijk geen certificaatwaarschuwing weergegeven

    Beschrijving: er is sprake van een probleem in de verwerking van Extended Validation-certificaten (EV) in Safari dat ertoe kan leiden dat de controle op intrekking wordt omzeild. Hierdoor zou een pagina geladen kunnen worden zonder een waarschuwing te geven voor een ingetrokken EV-certificaat. Deze update verhelpt het probleem door verbeterde controle voor EV-certificaten. Met dank aan Bruce Morten voor het melden van dit probleem.

  • Safari

    CVE-ID: CVE-2009-1706

    Beschikbaar voor: Windows XP of Vista

    Impact: cookies die tijdens een privésessie zijn ingesteld, kunnen achterblijven nadat de privésessie is beëindigd

    Beschrijving: de functie Privémodus van Safari is ontworpen om gebruikers in staat te stellen te surfen zonder dat er sporen van de browsersessie op schijf achterblijven. Een implementatieprobleem in Privémodus kan ertoe leiden dat cookies op schijf blijven staan nadat Privémodus is beëindigd. Dit kan leiden tot een onverwachte onthulling van gevoelige informatie. Deze update verhelpt dit probleem door cookies uit de alternatieve cookieopslag te verwijderen wanneer Privémodus is uitgeschakeld of Safari wordt afgesloten. Dit probleem is niet van invloed op systemen met Mac OS X. Met dank aan Michael Hay van Beatnik Monkey Software voor het melden van dit probleem.

  • Safari

    CVE-ID: CVE-2009-1707

    Beschikbaar voor: Windows XP of Vista

    Impact: "Stel Safari opnieuw in" verwijdert websitewachtwoorden mogelijk niet onmiddellijk uit het geheugen

    Beschrijving: na het klikken op de knop "Stel opnieuw in" voor "Stel opgeslagen namen en wachtwoorden opnieuw in" in de menuoptie "Stel Safari opnieuw in..." kan het tot 30 seconden duren voordat Safari de wachtwoorden heeft gewist. Een gebruiker met toegang tot het systeem in dat tijdsvenster kan toegang krijgen tot de opgeslagen inloggegevens. Dit probleem wordt verholpen door de racevoorwaarde die tot de vertraging leidt op te lossen. Dit probleem is niet van invloed op systemen met Mac OS X. Met dank aan Philippe Couturier van izypage.com en Andrew Wellington van de Australian National University voor het melden van dit probleem.

  • Safari

    CVE-ID: CVE-2009-1708

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP of Vista

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot de onthulling van lokale bestandsinhoud of het uitvoeren van willekeurige code

    Beschrijving: een probleem in de URL-handler van open-help-anchor in Safari kan een kwaadwillig vervaardigde website in staat stellen om lokale helpbestanden te openen. Dit kan leiden tot de onthulling van gevoelige informatie of uitvoering van willekeurige code. Deze update verhelpt het probleem door te voorkomen dat externe sites de URL-handler open-help-anchor aanroepen. Met dank aan Billy Rios en Microsoft Vulnerability Research voor het melden van dit probleem.

  • Safari Windows Installer

    Beschikbaar voor: Windows XP of Vista

    Impact: Safari kan worden uitgevoerd met verhoogde rechten

    Beschrijving: het installatieprogramma van Safari bevat een selectievakje om Safari onmiddellijk na de installatie te starten. Als dit selectievakje is aangevinkt, zorgt de compressiemethode in het installatieprogramma ervoor dat Safari bij de eerste start met verhoogde rechten wordt uitgevoerd. Het probleem wordt verholpen door een andere compressiemethode te gebruiken in het installatieprogramma. Dit probleem is niet van invloed op systemen met Mac OS X. Met dank aan Dave English van Lutnos voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2006-2783

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP of Vista

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot een cross-site scriptingaanval

    Beschrijving: WebKit negeert markeerreeksen in Unicode-bytevolgorde bij het parseren van webpagina's. Bepaalde websites en webinhoudsfilters proberen invoer op te schonen door specifieke HTML-tags te blokkeren. Deze filteraanpak kan worden overgeslagen en kan leiden tot cross-site scripting bij het vaststellen van kwaadwillig vervaardigde HTML-tags die Byte Order Mark-reeksen bevatten. In deze update wordt het probleem verholpen door een verbeterde verwerking van Byte Order Mark-reeksen. Met dank aan Chris Weber van Casaba Security, LLC voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2008-1588

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP of Vista

    Impact: ideografische Unicode-spaties kunnen worden gebruikt om een website te spoofen

    Beschrijving: wanneer Safari de huidige URL in de adresbalk weergeeft, worden ideografische Unicode-spaties weergegeven. Hierdoor kan de gebruiker op een kwaadwillig vervaardigde website worden omgeleid naar een vervalste site die op het eerste gezicht een legitiem domein lijkt te zijn. In deze update wordt het probleem verholpen door geen ideografische Unicode-spaties in de adresbalk weer te geven.

  • WebKit

    CVE-ID: CVE-2008-7260

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP of Vista

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van een programma of het uitvoeren van willekeurige code

    Beschrijving: er is sprake van een probleem met geheugenbeschadiging bij de verwerking van ongeldige kleurtekenreeksen in WebKit. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van de app of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door een verbeterde verwerking van kleurtekenreeksen. Met dank aan Thomas Raffetseder van het International Secure Systems Lab voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2008-3632

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP of Vista

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van een programma of het uitvoeren van willekeurige code

    Beschrijving: er is sprake van een use-after-free probleem bij de verwerking van '@import'-verklaringen binnen trapsgewijze opmaakmodellen in WebKit. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van de app of het uitvoeren van willekeurige code. Deze update lost het probleem op door verbeterde verwerking van opmaakmodellen. Met dank aan Dean McNamee van Google Inc. voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2008-4231

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP of Vista

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van een programma of het uitvoeren van willekeurige code

    Beschrijving: er is sprake van een probleem met niet-geïnitialiseerde geheugentoegang bij de verwerking van HTML-tabellen in WebKit. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van de app of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door de interne weergave van HTML-tabellen correct te initialiseren. Met dank aan Haifei Li van Fortinet's FortiGuard Global Security Research Team voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2009-1681

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP of Vista

    Impact: interactie met een kwaadwillig vervaardigde website kan leiden tot onverwachte acties op andere sites

    Beschrijving: er is sprake van een ontwerpprobleem in het same-origin beleidsmechanisme dat wordt gebruikt om interacties tussen websites te beperken. Dit beleid staat websites toe om pagina's van websites van derden in een subframe te laden. Dit frame kan worden geplaatst om de gebruiker te verleiden op een bepaald element in het frame te klikken, een aanval die "clickjacking" wordt genoemd. Een kwaadwillig vervaardigde website kan een gebruiker manipuleren om een onverwachte actie te ondernemen, zoals het doen van een aankoop. Deze update verhelpt het probleem door de standaard extensiekoptekst 'X-Frame-Options' te gebruiken, waarmee individuele webpagina's kunnen aangeven dat ze niet binnen een subframe willen worden weergegeven.

  • WebKit

    CVE-ID: CVE-2009-1684

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP of Vista

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot cross-site scripting

    Beschrijving: er is sprake van een probleem met cross-site scripting in de scheiding van JavaScript-contexten. Een kwaadwillig vervaardigde webpagina kan een gebeurtenis-handler gebruiken om een script uit te voeren in de beveiligingscontext van de volgende webpagina die in zijn venster of frame wordt geladen. Deze update verhelpt het probleem door ervoor te zorgen dat gebeurtenis-handlers niet direct een pagina-overgang kunnen beïnvloeden. Met dank aan Michal Zalewski van Google Inc. voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2009-1685

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP of Vista

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot cross-site scripting

    Beschrijving: er is sprake van een probleem met cross-site scripting in de scheiding van JavaScript-contexten. Door een gebruiker te verleiden een kwaadwillig vervaardigde webpagina te bezoeken, kan de aanvaller de 'document.implementatie' overschrijven van een ingesloten of bovenliggend document dat vanuit een andere beveiligingszone wordt aangeboden. Deze update verhelpt het probleem door ervoor te zorgen dat wijzigingen in 'document.implementation' geen invloed hebben op andere documenten. Met dank aan Dean McNamee van Google Inc. voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2009-1686

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP of Vista

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er is sprake van een probleem met typeconversie bij de verwerking van JavaScript-uitzonderingen in WebKit. Wanneer wordt geprobeerd de uitzondering toe te wijzen aan een variabele die is gedeclareerd als een constante, wordt een object gecast naar een ongeldig type, wat geheugenbeschadiging veroorzaakt. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van de app of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door ervoor te zorgen dat de toewijzing in een const-declaratie naar het variabele object schrijft. Met dank aan Jesse Ruderman van Mozilla Corporation voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2009-1687

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP of Vista

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van een programma of het uitvoeren van willekeurige code

    Beschrijving: er is sprake van een probleem met geheugenbeschadiging van JavaScript garbage collector in WebKit. Als een toewijzing mislukt, kan er geheugen worden weggeschreven naar een offset van een NULL-pointer, wat kan leiden tot onverwachte beëindiging van een programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door te controleren op toewijzingsfouten. Met dank aan SkyLined van Google Inc. voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2009-1688

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP of Vista

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot cross-site scripting

    Beschrijving: WebKit maakt geen gebruik van de HTML 5-standaardmethode om de beveiligingscontext te bepalen die bij een bepaald script hoort. Een implementatieprobleem in de methode van WebKit kan onder bepaalde omstandigheden leiden tot een cross-site scriptingaanval. Deze update verhelpt het probleem door de standaardmethode te gebruiken om de beveiligingscontext van een script te bepalen. Met dank aan Adam Barth van UC Berkeley en Collin Jackson van Stanford University voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2009-1689

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP of Vista

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot een cross-site scriptingaanval

    Beschrijving: er is sprake van een probleem met cross-site scriptingaanvallen in WebKit. Een kwaadwillig vervaardigde website die een formulier bevat dat is verstuurd naar 'about:blank' kan synchroon de beveiligingscontext van het document vervangen, waardoor scripts die op dat moment worden uitgevoerd in de nieuwe beveiligingscontext kunnen worden uitgevoerd. Deze update verhelpt het probleem door betere verwerking van cross-site interactie met het indienen van formulieren. Met dank aan Adam Barth van UC Berkeley en Collin Jackson van Stanford University voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2009-1690

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP of Vista

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van een programma of het uitvoeren van willekeurige code

    Beschrijving: er is sprake van een probleem met geheugenbeschadiging bij de verwerking van recursie in bepaalde DOM-gebeurtenis-handlers in WebKits. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van de app of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door verbeterd geheugenbeheer. Met dank aan SkyLined van Google Inc en wushi & ling van team509 in samenwerking met Verisign iDefense VCP voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2009-1691

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP of Vista

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot een cross-site scripting

    Beschrijving: door een cross-site scriptingprobleem in Safari kan een kwaadwillig vervaardigde website standaard JavaScript-prototypes wijzigen van websites die vanaf een ander domein worden aangeboden. Door een gebruiker te verleiden een kwaadwillig vervaardigde webpagina te bezoeken, kan een aanvaller de uitvoering van JavaScript wijzigen die vanaf andere websites wordt aangeboden. Deze update verhelpt het probleem door verbeterde toegangscontrole voor deze prototypes.

  • WebKit

    CVE-ID: CVE-2009-1693

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP of Vista

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan afbeeldingen van andere sites onthullen

    Beschrijving: er is sprake van een cross-site probleem met het vastleggen van afbeeldingen in WebKit. Door een canvas met een SVG-afbeelding te gebruiken, kan een kwaadwillig vervaardigde website een afbeelding van een andere website laden en vastleggen. Deze update verhelpt het probleem door het lezen van canvassen met afbeeldingen die van andere websites zijn geladen te beperken. Met dank aan Chris Evans van Google Inc. voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2009-1694

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP of Vista

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan afbeeldingen van andere sites onthullen

    Beschrijving: er is sprake van een cross-site probleem met het vastleggen van afbeeldingen in WebKit. Door een canvas en een omleiding te gebruiken, kan een kwaadwillig vervaardigde website een afbeelding van een andere website laden en vastleggen. Deze update verhelpt het probleem door een verbeterde verwerking van omleidingen. Met dank aan Chris Evans voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE CVE-2009-1695

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP of Vista

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot een cross-site scriptingaanval

    Beschrijving: een probleem in WebKit zorgt ervoor dat de inhoud van een frame toegankelijk is voor een HTML-document nadat een paginaovergang heeft plaatsgevonden. Hierdoor kan een kwaadwillig vervaardigde website een cross-site scriptingaanval uitvoeren. Deze update verhelpt het probleem door verbeterde domeincontrole. Met dank aan Masaki Yoshida van Google Inc. voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2009-1696

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP of Vista

    Impact: websites kunnen gebruikers stiekem volgen

    Beschrijving: Safari genereert willekeurige getallen voor JavaScript-programma's met behulp van een voorspelbaar algoritme. Hierdoor kan een website een bepaalde Safari-sessie volgen zonder cookies, verborgen formulierelementen, IP-adressen of andere technieken te gebruiken. Deze update verhelpt het probleem op door een betere generator voor willekeurige getallen te gebruiken. Met dank aan Amit Klein van Trusteer voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2009-1697

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP of Vista

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot een cross-site scriptingaanval

    Beschrijving: er is sprake van een CRLF-injectieprobleem in de verwerking van XMLHttpRequest-headers in WebKit. Hierdoor kan een kwaadwillig vervaardigde website het same-originbeleid omzeilen door een XMLHttpRequest uit te geven dat geen Host-header bevat. XMLHttpRequests zonder Host-header kunnen andere websites op dezelfde server bereiken, waardoor JavaScript van aanvallers kan communiceren met die sites. Deze update verhelpt het probleem door verbeterde verwerking van XMLHttpRequest-headers. Met dank aan Per von Zweigbergk voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2009-1698

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP of Vista

    Impact: het verwerken van een kwaadwillig vervaardigde webpagina kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is sprake van een probleem met een niet-geïnitialiseerde pointer bij de verwerking de CSS-functie 'attr'. Het bekijken van een kwaadwillig vervaardigde webpagina kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Deze update lost het probleem op door aanvullende validatie van CSS-elementen. Met dank aan Thierry Zoller, in samenwerking met het Zero Day Initiative van TippingPoint, en Robert Swiecki van het Google Security Team voor het melden van dit beveiligingsprobleem.

  • WebKit

    CVE-ID: CVE-2009-1699

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP of Vista

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onthullen van informatie

    Beschrijving: er is sprake van een probleem met externe XML-entiteiten bij de verwerking van XML in WebKit. Een kwaadwillig vervaardigde website kan bestanden van het systeem van de gebruiker lezen. Deze update verhelpt het probleem door externe entiteiten niet tussen oorsprongen te laden. Met dank aan Chris Evans van Google Inc. voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2009-1700

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP of Vista.

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onthullen van gevoelige informatie

    Beschrijving: WebKit verwerkt omleidingen niet correct bij het verwerken van Extensible Stylesheet Language Transformations (XSLT). Hierdoor kan een kwaadwillig vervaardigde website XML-inhoud van pagina's op andere websites ophalen, waardoor gevoelige informatie kan worden onthult. Deze update verhelpt het probleem door ervoor te zorgen dat documenten waarnaar in transformaties wordt verwezen, worden gedownload vanuit hetzelfde domein als de transformatie zelf. Met dank aan Chris Evans van Google voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2009-1701

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP of Vista.

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is sprake van een use-after-free probleem bij de verwerking van het JavaScript DOM in WebKit. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van de app of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door verbeterde verwerking van documentelementen. Met dank aan wushi & ling van team509, in samenwerking met het Zero Day Initiative van TippingPoint, voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2009-1702

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP of Vista

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot een cross-site scriptingaanval

    Beschrijving: een probleem bij de verwerking van de Locatie- en Geschiedenis-objecten in WebKitkan leiden tot een cross-site scriptingaanval bij een bezoek aan een kwaadwillig vervaardigde website. Deze update verhelpt het probleem door betere verwerking van Locatie- en Geschiedenis-objecten. Met dank aan Adam Barth en Joel Weinberger van UC Berkeley voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2009-1703

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP of Vista

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onthullen van informatie

    Beschrijving: de verwerking van audio- en video-HTML-elementen WebKit maakt het mogelijk dat een externe website verwijst naar lokale "file:"-URL's. Een kwaadwillig vervaardigde website kan het bestaan van bestanden controleren, wat kan leiden tot onthulling van informatie. Deze update verhelpt het probleem door betere verwerking van audio- en video-elementen. Met dank aan Dino Dai Zovi voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2009-1709

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP of Vista

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is sprake van een use-after-free probleem bij de verwerking van SVG-animatie-elementen in WebKit. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van de app of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door een verbeterde verwerking van caches. Met dank aan een anonieme onderzoeker in samenwerking met het Zero Day Initiative van TippingPoint voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2009-1710

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP of Vista.

    Impact: een vervaardigde gemaakte website kan browser UI-elementen spoofen

    Beschrijving: door een grote en meestal transparante aangepaste cursor op te geven en de CSS3-hotspoteigenschap aan te passen, kan een kwaadwillend vervaardigde website browser UI-elementen spoofen, zoals de hostnaam en beveiligingsindicatoren. Deze update verhelpt het probleem aan door extra beperkingen op aangepaste cursors. Met dank aan Dean McNamee van Google voor het melden van dit probleem

  • WebKit

    CVE-ID: CVE-2009-1711

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP of Vista

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van een programma of het uitvoeren van willekeurige code

    Beschrijving: er is sprake van een probleem met niet-geïnitialiseerde geheugentoegang bij de verwerking van Attr DOM-objecten in WebKit. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van de app of het uitvoeren van willekeurige code. Deze update lost het probleem op door verbeterde validatie van DOM-elementen. Met dank aan Feng Qian van Google Inc. voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2009-1712

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP of Vista

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onthullen van informatie of het uitvoeren van willekeurige code

    Beschrijving: WebKit staat toe dat websites op afstand Java-applets kunnen laden vanaf het lokale systeem. Lokale applets verwachten mogelijk niet dat ze op afstand worden geladen en kunnen de externe site toestaan om willekeurige code uit te voeren of op een andere manier onverwachte rechten te verlenen aan de externe site. Deze update verhelpt het probleem door te voorkomen dat externe websites lokale applets laden.

  • WebKit

    CVE-ID: CVE-2009-1713

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP of Vista

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onthullen van informatie

    Beschrijving: er is sprake van een probleem met het onthullen van informatie bij de implementatie van de document()-functie in WebKit die wordt gebruikt in XSLT-documenten. Een kwaadwillig vervaardigde website kan bestanden van andere beveiligingszones lezen, waaronder het systeem van de gebruiker. Deze update verhelpt het probleem door het laden van bronnen van verschillende oorsprongen te voorkomen. Met dank aan Chris Evans van Google voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2009-1714

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP of Vista.

    Impact: het gebruik van Web Inspector op een kwaadwillig vervaardigde website kan leiden tot cross-site scripting

    Beschrijving: er is sprake van een probleem in Web Inspector dat ervoor zorgt dat een pagina die wordt gecontroleerd een geïnjecteerd script kan uitvoeren met verhoogde rechten, inclusief de mogelijkheid om het bestandssysteem van de gebruiker te lezen. Deze update verhelpt het probleem door HTML-attributen op de juiste manier te escapen. Met dank aan Pengsu Cheng van Wuhan University voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2009-1715

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP of Vista.

    Impact: het gebruik van Web Inspector op een kwaadwillig vervaardigde website kan leiden tot cross-site scripting

    Beschrijving: er is sprake van een probleem in Web Inspector dat ervoor zorgt dat een pagina die wordt gecontroleerd een geïnjecteerd script kan uitvoeren met verhoogde rechten, inclusief de mogelijkheid om het bestandssysteem van de gebruiker te lezen. Deze update verhelpt probleem aan door scripts uit te voeren met de rechten van de webpagina die wordt gecontroleerd. Met dank aan Collin Jackson van Stanford University en Adam Barth van UC Berkeley voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2009-1718

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP of Vista

    Impact: het slepen van inhoud over een kwaadwillig vervaardigde webpagina kan leiden tot onthulling van informatie

    Beschrijving: er is sprake van een probleem bij de verwerking van sleepgebeurtenissen in WebKit. Dit kan leiden tot de onthulling van gevoelige informatie wanneer inhoud over een kwaadwillig vervaardigde webpagina wordt gesleept. Deze update verhelpt het probleem door verbeterde verwerking van sleepgebeurtenissen. Met dank aan Eric Seidel van Google, Inc. voor het melden van dit probleem.

Belangrijk: De vermelding van websites en producten van derden is alleen bedoeld ter informatie en impliceert niet dat wij deze websites of producten goedkeuren of aanbevelen. Apple aanvaardt geen verantwoordelijkheid met betrekking tot de selectie, prestaties of het gebruik van informatie of producten op websites van derden. Apple biedt dit alleen aan voor het gemak van onze gebruikers. Apple heeft de informatie op deze sites niet getest en doet geen uitspraken over de juistheid of betrouwbaarheid ervan. Er zijn risico's verbonden aan het gebruik van informatie of producten die op internet worden gevonden en Apple aanvaardt in dit verband geen enkele verantwoordelijkheid. Het is belangrijk om je te realiseren dat een site van derden onafhankelijk is van Apple en dat Apple geen controle heeft over het materiaal op die website. Neem voor meer informatie contact op met de leverancier.

Publicatiedatum: