Over de beveiligingsinhoud van Safari 4.0.3

In dit document wordt de beveiligingsinhoud van Safari 4.0.3 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple productbeveiliging voor meer informatie over Apple productbeveiliging.

Zie 'Hoe gebruikt u de Apple PGP-sleutel voor productbeveiliging' voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Ga naar Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

Safari 4.0.3

  • CoreGraphics

    CVE-ID: CVE-2009-2468.

    Beschikbaar voor: Windows XP en Vista

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of uitvoeren van willekeurige code.

    Beschrijving: er treedt een heapbufferoverloop op bij het schrijven van lange tekstreeksen. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of uitvoeren van willekeurige code. In deze update wordt het probleem verholpen door middel van verbeterde bounds checking. Met dank aan Will Drewry van Google Inc. voor het melden van dit probleem.

  • ImageIO

    CVE-ID: CVE-2009-2188.

    Beschikbaar voor: Windows XP en Vista

    Impact: het weergeven van een schadelijke afbeelding kan leiden tot het onverwacht beëindigen van het programma of uitvoeren van willekeurige code.

    Beschrijving: er treedt een heapbufferoverloop op bij de verwerking van EXIF-metagegevens. Het weergeven van een kwaadwillig vervaardigde afbeelding kan leiden tot het onverwacht beëindigen van het programma of uitvoeren van willekeurige code. In deze update wordt het probleem verholpen door middel van verbeterde bounds checking.

  • Safari

    CVE-ID: CVE-2009-2196.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP en Vista

    Impact: een kwaadwillig vervaardigde website kan in de Top Sites van Safari terecht komen

    Beschrijving: Safari 4 introduceerde de functie Top Sites om de favoriete websites van een gebruiker in een oogopslag te bekijken. Een kwaadwillig vervaardigde website kan willekeurige sites promoten in Top Sites via de automatische acties. Dit kan worden gebruikt voor een phishing-aanval. Dit probleem wordt verholpen door ervoor te zorgen dat automatische websitebezoeken geen invloed hebben op de Top Sites-lijst. Alleen door de gebruiker handmatig bezochte websites kunnen in de Top Sites-lijst worden opgenomen. Safari schakelt standaard de detectie van frauduleuze sites in. Sinds de introductie van Top Sites worden frauduleuze sites niet weergegeven in de Top Sites-weergave. Met dank aan Inferno van SecureThoughts.com voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2009-2195.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP en Vista

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of uitvoeren van willekeurige code.

    Beschrijving: er bestaat een bufferoverloop in het parseren van getallen met drijvende komma's door Webkit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of uitvoeren van willekeurige code. In deze update wordt het probleem verholpen door middel van verbeterde bounds checking. Met dank aan: Apple.

  • WebKit

    CVE-ID: CVE-2009-2200.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP en Vista

    Impact: een bezoek aan een kwaadwillig vervaardigde website en het klikken op "Ga" bij het bekijken van een kwaadwillig plugin-venster kan leiden tot het openbaar maken van vertrouwelijke informatie

    Beschrijving: WebKit laat het kenmerk plugin-pagina van het "ingebedde" element verwijzen naar URL's van bestanden. Als u klikt op "Go" in het dialoogvenster dat verschijnt wanneer naar een onbekend plugin-type wordt verwezen, wordt u geleid naar de URL in het plugin-kenmerk. Zo kan een aanvaller op afstand URL's naar bestanden in Safari openen om zo vertrouwelijke informatie openbaar te maken. Deze update verhelpt het probleem door het URL-schema van de plugin-pagina tot http of https te beperken. Met dank aan Alexios Fakos van n.runs AG voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2009-2199.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP en Vista

    Impact: gelijk uitziende tekens in een URL kunnen worden gebruikt om een website te maskeren

    Beschrijving: de ondersteuning van IDN (International Domain Name) en Unicode-lettertypen die zijn geïntegreerd in Safari, kunnen worden gebruikt om een URL te maken die gelijk uitziende tekens bevat. Deze kunnen worden gebruikt in een kwaadwillige website om de gebruiker om te leiden naar een vervalste site die op het eerste gezicht een legitiem domein lijkt te zijn. Deze update verhelpt het probleem door WebKit's lijst met gelijk uitziende tekens aan te vullen. Gelijk uitziende tekens worden in Punycode in de adresbalk weergegeven. Met dank aan Chris Weber van Casaba Security, LLC voor het melden van deze kwestie.

Publicatiedatum: