Over de beveiligingsinhoud van Safari 5.0 en Safari 4.1

In dit document wordt de beveiligingsinhoud van Safari 5.0 en Safari 4.1 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.

Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Zie Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

Safari 5.0

  • ColorSync

    CVE-ID: CVE-2009-1726

    Beschikbaar voor: Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bekijken van een kwaadwillig vervaardigde afbeelding met een ingebed ColorSync-profiel kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: de verwerking van afbeeldingen met een ingebed ColorSync-profiel kan leiden tot een heapbufferoverloop. Het openen van een kwaadwillig vervaardigde afbeelding met een ingebed ColorSync-profiel kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door verbeterde validatie van ColorSync-profielen. Met dank aan Chris Evans van het Google Security Team en Andrzej Dyjak voor het melden van dit probleem.

  • ImageIO

    CVE-ID: CVE-2010-1411

    Beschikbaar voor: Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bekijken van een kwaadwillig vervaardigd TIFF-bestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaan meerdere overlopen met hele getallen bij de verwerking van TIFF-bestanden, die zouden kunnen leiden tot een heapbufferoverloop. Het openen van een kwaadwillig vervaardigd TIFF-bestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. De problemen zijn verholpen door verbeterde controle van de grenzen. Met dank aan Kevin Finisterre van digitalmunition.com voor het melden van deze problemen.

  • Safari

    CVE-ID: CVE-2010-1384

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: een met kwade opzet gemaakte URL kan worden verdoezeld, waardoor phishingaanvallen effectiever worden.

    Beschrijving: Safari ondersteunt het opnemen van gebruikersgegevens in URL's, waardoor de URL een gebruikersnaam en wachtwoord kan opgeven om de gebruiker te authenticeren op de genoemde server. Deze URL's worden vaak gebruikt om gebruikers te verwarren, wat phishing-aanvallen mogelijk vergemakkelijkt. Safari is bijgewerkt om een waarschuwing weer te geven voordat een HTTP- of HTTPS-URL met gebruikersinformatie wordt geopend. Met dank aan Abhishek Arya van Google, Inc. voor het melden van dit probleem.

  • Safari

    CVE-ID: CVE-2010-1385

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een use-after-free-probleem bij de verwerking van PDF-bestanden door Safari. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door verbeterde verwerking van PDF-bestanden. Met dank aan Borja Marcos van Sarenet voor het melden van dit probleem.

  • Safari

    CVE-ID: CVE-2010-1750

    Beschikbaar voor: Windows 7, Vista, XP SP2 of nieuwer

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code.

    Beschrijving: er is sprake van een use-after-free-probleem bij het beheer van Safari van vensters. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door een verbeterd vensterbeheer. Dit probleem is niet van invloed op systemen met Mac OS X.

  • WebKit

    CVE-ID: CVE-2010-1388

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer

    Impact: het slepen of plakken van links of afbeeldingen kan leiden tot openbaarmaking van informatie

    Beschrijving: er bestaat een implementatieprobleem in de verwerking door WebKit van URL's op het klembord. Het bezoeken van een kwaadwillig vervaardigde website en het slepen of plakken van links of afbeeldingen kan bestanden van het systeem van de gebruiker naar een externe server sturen. Dit probleem is verholpen door aanvullende validatie van URL's op het klembord. Dit probleem is niet van invloed op Windows-systemen. Met dank aan Eric Seidel van Google, Inc. voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1389

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het slepen of plakken van een selectie kan leiden tot een cross-site scriptingaanval

    Beschrijving: het slepen of plakken van een selectie van de ene site naar de andere kan ertoe leiden dat scripts in de selectie worden uitgevoerd in de context van de nieuwe site. Dit probleem is verholpen door extra validatie van inhoud vóór een plak- of sleepbewerking. Met dank aan Paul Stone van Context Information Security voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1390

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bezoeken van een website die UTF-7-codering gebruikt kan leiden tot een cross-site scriptingaanval

    Beschrijving: er bestaat een canonicalisatieprobleem in de verwerking door WebKit van UTF-7-gecodeerde tekst. Een HTML-tekenreeks tussen aanhalingstekens kan onvoltooid blijven, wat leidt tot een cross-site scripting-aanval of andere problemen. Dit probleem is verholpen door de ondersteuning voor UFT-7-codering in WebKit te verwijderen. Met dank aan Masahiro Yamada voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1391

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan ertoe leiden dat bestanden worden aangemaakt op willekeurige, door de gebruiker beschrijfbare locaties

    Beschrijving: er bestaat een probleem met het doorlopen van paden in de ondersteuning van WebKit voor lokale opslag en Web SQL-databases. Een kwaadwillig vervaardigde website openen vanaf een door een app gedefinieerd schema met %2f' (/) of '%5c' (\) en '..' in het host-gedeelte van de URL, kan leiden tot het maken van databasebestanden buiten de toegewezen directory. Dit probleem is verholpen door tekens te coderen die een speciale betekenis in padnamen kunnen hebben. Dit probleem is niet van invloed op sites met http:- of https:-schema's. Met dank aan Apple.

  • WebKit

    CVE-ID: CVE-2010-1392

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een use-after-free-probleem bij het weergeven van HTML-knoppen door WebKit. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door een verbeterd geheugenbeheer. Met dank aan Matthieu Bonetti van VUPEN Vulnerability Research Team, en wushi van team509 in samenwerking met TippingPoint's Zero Day Initiative voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1393

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot openbaarmaking van informatie

    Beschrijving: er bestaat een probleem met de openbaarmaking van informatie in de verwerking van cascading stylesheets door WebKit. Als het HREF-kenmerk van een stylesheet is ingesteld op een URL die zorgt voor doorverwijzing, kunnen scripts op de pagina mogelijk toegang krijgen tot de doorverwezen URL. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot de openbaarmaking van gevoelige URL's op een andere site. Dit probleem wordt verholpen door de originele URL te retourneren naar scripts, en niet de doorverwezen URL.

  • WebKit

    CVE-ID: CVE-2010-1119

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 of nieuwer, Mac OS X Server v10.6.1 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een use-after-free-probleem bij de verwerking van attribuutmanipulatie door WebKit. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde tracking van geheugenreferenties. Met dank aan Vincenzo Iozzo en Ralf Philipp Weinmann in samenwerking met het Zero Day Initiative van TippingPoint en Michal Zalewski van Google, Inc. voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1394

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan tot een cross-site scriptingaanval leiden

    Beschrijving: er is sprake van een ontwerpprobleem in de verwerking door WebKit van HTML-documentfragmenten. De inhoud van HTML-documentfragmenten wordt verwerkt voordat een fragment wordt toegevoegd aan een document. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot een cross-site scripting-aanval als een legitieme website probeert om een documentfragment met onbetrouwbare gegevens te manipuleren. Dit probleem is verholpen door te verzekeren dat de analyse van het eerste fragment geen neveneffecten heeft op het document dat het fragment maakte. Met dank aan Eduardo Vela Nava (sirdarckcat) van Google Inc. voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1422

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: interactie met een kwaadwillig vervaardigde website kan leiden tot onverwachte acties op andere sites

    Beschrijving: er bestaat een implementatieprobleem in de verwerking door WebKit van toetsenbordfocus. Als de toetsenbordfocus wijzigt tijdens het verwerken van toetsaanslagen, kan WebKit een event afleveren aan het frame dat nu de focus heeft, in plaats van het frame dat de focus had toen de toetsaanslag plaatsvond. Een kwaadwillig vervaardigde website kan een gebruiker manipuleren om een onverwachte actie te ondernemen, zoals het doen van een aankoop. Dit probleem is verholpen door de levering van toetsaanslagevents te voorkomen als de toetsenbordfocus wijzigt tijdens het verwerken. Met dank aan Michal Zalewski van Google, Inc. voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1395

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot een cross-site scriptingaanval

    Beschrijving: er bestaat een probleem met het beheer van het toepassingsbereik in de verwerking door WebKit van DOM-constructorobjecten. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot een cross-site scripting-aanval. Dit probleem is verholpen door verbeterde verwerking van DOM-constructorobjecten. Met dank aan Gianni "gf3" Chiappetta van Runlevel6 voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1396

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een use-after-free-probleem in de verwerking door WebKit van de verwijdering van containerelementen. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde tracking van geheugenreferenties. Met dank aan wushi van team509, in samenwerking met het Zero Day Initiative van TippingPoint, voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1397

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een use-after-free-probleem bij het weergeven van een selectie door WebKit wanneer de lay-out wijzigt. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door een verbeterde verwerking van selecties. Met dank aan wushi&Z van team509 in samenwerking met het Zero Day Initiative van TippingPoint voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1398

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een probleem met geheugenbeschadiging in de verwerking door WebKit van invoegingen in geordende lijsten. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door een verbeterde verwerking van invoegingen van geordende lijsten. Met dank aan wushi van team509, in samenwerking met het Zero Day Initiative van TippingPoint, voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1399

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een probleem met toegang tot niet-geïnitialiseerd geheugen in de verwerking door WebKit van de verwijdering van selectiewijzigingen in formulierinvoerelementen. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door een verbeterde verwerking van selecties. Met dank aan wushi van team509, in samenwerking met het Zero Day Initiative van TippingPoint, voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1400

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een use-after-free-probleem in de verwerking door WebKit van captionelementen. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door een verbeterde verwerking van bijschriftelementen. Met dank aan wushi van team509, in samenwerking met iDefense, voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1401

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een use-after-free-probleem in de verwerking door WebKit van het pseudo-element ':first-letter' in cascading stylesheets. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde verwerking van het ':first-letter' pseudo-element. Met dank aan wushi van team509, in samenwerking met het Zero Day Initiative van TippingPoint, voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1402

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een double-free-probleem in de verwerking door WebKit van eventlisteners in SVG-documenten. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde verwerking van SVG-documenten. Met dank aan wushi van team509, in samenwerking met het Zero Day Initiative van TippingPoint, voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1403

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een probleem met toegang tot niet-geïnitialiseerd geheugen in de verwerking door WebKit van 'use'-elementen in SVG-documenten. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde verwerking van 'use'-elementen in SVG-documenten. Met dank aan wushi van team509, in samenwerking met het Zero Day Initiative van TippingPoint, voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1404

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een use-after-free-probleem in de verwerking door WebKit van SVG-documenten met meerdere 'use'-elementen. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde verwerking van 'use'-elementen in SVG-documenten. Met dank aan wushi van team509, in samenwerking met het Zero Day Initiative van TippingPoint, voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1410

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een probleem met geheugenbeschadiging in de verwerking door WebKit van geneste 'use'-elementen in SVG-documenten. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde verwerking van geneste 'use'-elementen in SVG-documenten. Met dank aan Aki Helin van OUSPG voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1749

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een use-after-free-probleem in de verwerking door WebKit van CSS-run-ins. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde verwerking van CSS-run-ins. Met dank aan wushi van team509, in samenwerking met het Zero Day Initiative van TippingPoint, voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1405

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een use-after-free-probleem in de verwerking door WebKit van HTML-elementen met aangepaste verticale positionering. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde tracking van geheugenreferenties. Met dank aan Ojan Vafai van Google Inc. voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1406

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bezoeken van een HTTPS-site die omleidt naar een HTTP-site kan leiden tot openbaarmaking van informatie

    Beschrijving: wanneer WebKit wordt omgeleid van een HTTPS-site naar een HTTP-site, wordt de Referer-header doorgegeven aan de HTTP-site. Dit kan leiden tot openbaarmaking van gevoelige informatie in de URL van de HTTPS-site. Dit probleem is verholpen door de verwijzings-header niet over te dragen wanneer een HTTPS-site doorverwijst naar een HTTP-site. Met dank aan Colin Percival van Tarsnap voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1408

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot het verzenden van extern gespecificeerde gegevens naar willekeurige TCP-poorten

    Beschrijving: er bestaat een probleem met het afkappen van integers in de verwerking door WebKit van verzoeken op niet-standaard TCP-poorten. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot de verzending van extern opgegeven gegevens naar willekeurige TCP-poorten. Dit probleem is verholpen door ervoor te zorgen dat de poortnummers zich binnen het geldige bereik bevinden.

  • WebKit

    CVE-ID: CVE-2010-1409

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan verzending van extern gespecificeerde gegevens naar een IRC-server toestaan

    Beschrijving: algemene IRC-servicepoorten zijn niet opgenomen op de zwarte lijst voor poorten van WebKit. Het bezoeken van een kwaadwillig vervaardigde website kan ervoor zorgen dat extern opgegeven gegevens wordt verstuurd naar een IRC-server. De server kan hierdoor ongewenste acties ondernemen namens de gebruiker. Dit probleem is verholpen door de betrokken poorten toe te voegen aan de zwarte lijst van poorten van WebKit.

  • WebKit

    CVE-ID: CVE-2010-1412

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een use-after-free-probleem in de verwerking door WebKit van hoverevents. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde verwerking van hoverevents. Met dank aan Dave Bowker van davebowker.com voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1413

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: de NTLM-inloggegevens van een gebruiker kunnen worden blootgesteld aan een man-in-the-middle-aanvaller.

    Beschrijving: onder bepaalde omstandigheden kan WebKit NTLM-inloggegevens verzenden in platte tekst. Hierdoor kan een man-in-the-middle-aanvaller de NTLM-legitimatie bekijken. Dit probleem is verholpen door de verbeterde verwerking van NTLM-legitimatie. Met dank aan Apple.

  • WebKit

    CVE-ID: CVE-2010-1414

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een use-after-free-probleem in de verwerking door WebKit van de DOM-methode removeChild. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door de verbeterde verwerking van de verwijdering van onderliggende elementen. Met dank aan Mark Dowd van Azimuth Security voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1415

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een API-misbruikprobleem in de verwerking door WebKit van libxml-contexten. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door de verbeterde verwerking van libxml-contextobjecten. Met dank aan Aki Helin van OUSPG voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1416

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan afbeeldingen van andere sites openbaar maken

    Beschrijving: er bestaat een cross-site image-capture-probleem in WebKit. Door gebruik te maken van een canvas met een schaalbare vectorafbeelding (SVG-afbeelding) kan een kwaadwillig vervaardigde website een afbeelding van een andere website laden en vastleggen. Dit probleem wordt verholpen door het lezen van een canvas met geladen patronen van andere websites te beperken. Met dank aan Chris Evans van Google Inc. voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1417

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een probleem met geheugenbeschadiging in de weergave door WebKit van HTML-inhoud met CSS-stijlen met meerdere ':after'-pseudo-selectors. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde omzetting van HTML-inhoud. Met dank aan wushi van team509 voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1418

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan tot een cross-site scriptingaanval leiden

    Beschrijving: er bestaat een invoervalidatieprobleem in de verwerking door WebKit van het src-attribuut van het frame-element. Een kenmerk met een javascript-schema en voorloopspaties wordt als geldig beschouwd. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot een cross-site scripting-aanval. Deze update verhelpt het probleem door de correcte validatie van frame.src voordat de URL wordt gedereferentieerd. Met dank aan Sergey Glazunov voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1419

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een use-after-free-probleem in de verwerking door WebKit van drag-and-drop wanneer het venster dat de bron is van een sleephandeling wordt gesloten voordat de sleephandeling wordt voltooid. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door een verbeterd geheugenbeheer. Met dank aan kuzzcc en Skylined van het Google Chrome Security Team voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1421

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot wijziging van de inhoud van het klembord

    Beschrijving: er bestaat een ontwerpprobleem in de implementatie van de JavaScript-functie execCommand. Een kwaadwillig vervaardigde webpagina kan de inhoud van het klembord wijzigen zonder interactie van de gebruiker. Dit probleem is verholpen door alleen toe te staan dat klembordopdrachten worden uitgevoerd als de gebruiker hiertoe het initiatief neemt. Met dank aan Apple.

  • WebKit

    CVE-ID: CVE-2010-0544

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot een cross-site scriptingaanval

    Beschrijving: een probleem in de verwerking door WebKit van onjuist geformuleerde URL's kan leiden tot een cross-site scriptingaanval bij het bezoeken van een kwaadaardig vervaardigde website. Dit probleem is verholpen door een verbeterde verwerking van URL's. Met dank aan Michal Zalewski van Google, Inc. voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1758

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een use-after-free-probleem in de verwerking door WebKit van DOM Range-objecten. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door de verbeterde verwerking van DOM Range-objecten. Met dank aan Yaar Schnitman van Google Inc. voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1759

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een use-after-free-probleem in de verwerking door WebKit van de methode Node.normalize. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door de verbeterde verwerking van de Node.normalize-methode. Met dank aan Mark Dowd voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1761

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een use-after-free-probleem bij het weergeven van subbomen in HTML-document door WebKit. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door de verbeterde weergave van substructuren van HTML-documenten. Met dank aan James Robinson van Google Inc. voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1762

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan tot een cross-site scriptingaanval leiden

    Beschrijving: er bestaat een ontwerpprobleem in de verwerking van HTML in textarea-elementen. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot een cross-site scriptingaanval. Dit probleem is verholpen door de verbeterde validatie van tekstelementen. Met dank aan Eduardo Vela Nava (sirdarckcat) van Google Inc. voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1764

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bezoeken van een website die formulierindieningen omleidt kan leiden tot openbaarmaking van informatie

    Beschrijving: er bestaat een ontwerpprobleem in de verwerking door WebKit van HTTP-omleidingen. Wanneer een ingediend formulier wordt omgeleid naar een website die ook een omleiding uitvoert, kan de informatie in het ingediende formulier naar de derde site worden verzonden. Dit probleem is verholpen door verbeterde verwerking van HTTP-omleidingen. Met dank aan Marc Worrell van WhatWebWhat voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1770

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een typecontroleprobleem in de verwerking door WebKit van tekstnodes. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde typecontrole. Met dank aan wushi van team509, in samenwerking met het Zero Day Initiative van TippingPoint, voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1771

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een use-after-free-probleem in de verwerking door WebKit van lettertypen. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door verbeterde verwerking van lettertypen. Met dank aan Apple.

  • WebKit

    CVE-ID: CVE-2010-1774

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een probleem met geheugentoegang buiten bereik in de verwerking door WebKit van HTML-tabellen. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde bereikcontrole. Met dank aan wushi van team509 voor het melden van dit probleem.

  • WebKit

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of nieuwer, Mac OS X Server v10.6.2 of nieuwer, Windows 7, Vista, XP SP2 of nieuwer

    Impact: een kwaadwillig vervaardigde website kan mogelijk bepalen welke sites een gebruiker heeft bezocht

    Beschrijving: er bestaat een ontwerpprobleem in de verwerking door WebKit van de CSS-pseudoklasse :visited. Een kwaadwillig vervaardigde website kan mogelijk bepalen welke sites een gebruiker heeft bezocht. Deze update beperkt de mogelijkheid van webpagina's om stijl toe te passen op pagina's op basis van het feit of links zijn bezocht.

Opmerking: Safari 5.0 en Safari 4.1 verhelpen dezelfde set beveiligingsproblemen. Safari 5.0 wordt geleverd voor Mac OS X v10.5, Mac OS X v10.6 en Microsoft Windows-systemen. Safari 4.1 wordt geleverd voor Mac OS X v10.4-systemen.

Belangrijk: Informatie over producten die niet door Apple zijn geproduceerd, wordt alleen ter informatie verstrekt en vormt geen aanbeveling of goedkeuring van Apple. Neem voor meer informatie contact op met de leverancier.

Publicatiedatum: