Over de beveiligingsinhoud van Safari 4.0.5
In dit document wordt de beveiligingsinhoud van Safari 4.0.5 beschreven.
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.
Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Zie Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.
Safari 4.0.5
ColorSync
CVE-ID: CVE-2010-0040
Beschikbaar voor: Windows 7, Vista, XP
Impact: het bekijken van een kwaadwillig vervaardigde afbeelding met een ingebed kleurprofiel kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er bestaat een overloop van hele getallen bij de verwerking van afbeeldingen met een ingebed kleurprofiel die kan leiden tot een heapbufferoverloop. Het openen van een kwaadwillig vervaardigde afbeelding met een ingebed kleurprofiel kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door aanvullende validatie van kleurprofielen uit te voeren. Dit probleem is niet van invloed op systemen met Mac OS X. Met dank aan Sebastien Renaud van VUPEN Vulnerability Research Team voor het melden van dit probleem.
ImageIO
CVE-ID: CVE-2009-2285
Beschikbaar voor: Windows 7, Vista, XP
Impact: het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er is sprake van een bufferonderloop bij de verwerking van TIFF-afbeeldingen door ImageIO. Het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde bereikcontrole. Voor systemen met Mac OS X v10.6 wordt dit probleem verholpen in Mac OS X v10.6.2. Voor systemen met Mac OS X v10.5 wordt dit probleem verholpen in beveiligingsupdate 2010-001.
ImageIO
CVE-ID: CVE-2010-0041
Beschikbaar voor: Windows 7, Vista, XP
Impact: het bezoeken van een kwaadwillig vervaardigde website kan ervoor zorgen dat gegevens vanuit het geheugen van Safari naar de website verstuurd worden
Beschrijving: er bestaat een probleem met niet-geïnitialiseerde geheugentoegang bij de verwerking van BMP-afbeeldingen door ImageIO. Het bezoeken van een kwaadwillig vervaardigde website kan ervoor zorgen dat gegevens vanuit het geheugen van Safari naar de website verstuurd worden. Dit probleem wordt verholpen door verbeterde verwerking van het geheugen en aanvullende validatie van BMP-afbeeldingen. Met dank aan Matthew 'j00ru' Jurczyk van Hispasec voor het melden van dit probleem.
ImageIO
CVE-ID: CVE-2010-0042
Beschikbaar voor: Windows 7, Vista, XP
Impact: het bezoeken van een kwaadwillig vervaardigde website kan ervoor zorgen dat gegevens vanuit het geheugen van Safari naar de website verstuurd worden
Beschrijving: er bestaat een probleem met niet-geïnitialiseerde geheugentoegang bij de verwerking van TIFF-afbeeldingen door ImageIO. Het bezoeken van een kwaadwillig vervaardigde website kan ervoor zorgen dat gegevens vanuit het geheugen van Safari naar de website verstuurd worden. Dit probleem wordt verholpen door verbeterde verwerking van het geheugen en aanvullende validatie van TIFF-afbeeldingen. Met dank aan Matthew 'j00ru' Jurczyk van Hispasec voor het melden van dit probleem.
ImageIO
CVE-ID: CVE-2010-0043
Beschikbaar voor: Windows 7, Vista, XP
Impact: het verwerken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er is een probleem met geheugenbeschadiging bij de verwerking van TIFF-afbeeldingen. Het verwerken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde verwerking van het geheugen. Met dank aan Gus Mueller van Flying Meat voor het melden van dit probleem.
PubSub
CVE-ID: CVE-2010-0044
Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 of nieuwer, Mac OS X Server v10.6.1 of nieuwer, Windows 7, Vista, XP
Impact: het bekijken of bijwerken van een feed kan ertoe leiden dat een cookie wordt ingesteld, zelfs als Safari geconfigureerd is om cookies te blokkeren
Beschrijving: er is een implementatieprobleem bij de verwerking van cookies die worden ingesteld door RSS- en Atom-feeds. Het bekijken of bijwerken van een feed kan ertoe leiden dat een cookie wordt ingesteld, zelfs als Safari met de voorkeur 'Accepteer cookies' geconfigureerd is om cookies te blokkeren. Deze update verhelpt het probleem door de voorkeur te respecteren bij het bijwerken of bekijken van feeds.
Safari
CVE-ID: CVE-2010-0045
Available for: Windows 7, Vista, XP
Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem in de verwerking van externe URL-schema's door Safari's kan ervoor zorgen dat een lokaal bestand wordt geopend als reactie op een URL die op een website wordt aangetroffen. het bezoeken van een kwaadwillig vervaardigde website kan leiden tot het uitvoeren van willekeurige code. Deze update lost het probleem op door verbeterde validatie van externe URL’s. Dit probleem is niet van invloed op systemen met Mac OS X. Met dank aan Billy Rios en Microsoft Vulnerability Research (MSVR) voor het melden van dit probleem.
WebKit
CVE-ID: CVE-2010-0046
Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 of nieuwer, Mac OS X Server v10.6.1 of nieuwer, Windows 7, Vista, XP
Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er bestaat een probleem met geheugenbeschadiging in de verwerking van argumenten in CSS-indeling() door WebKit. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door verbeterde verwerking van argumenten in CSS-indeling(). Met dank aan Robert Swiecki van Google Inc. voor het melden van dit probleem.
WebKit
CVE-ID: CVE-2010-0047
Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 of nieuwer, Mac OS X Server v10.6.1 of nieuwer, Windows 7, Vista, XP
Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er bestaat een use-after-free-probleem in de verwerking van alternatief materiaal voor HTML-objectelementen. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde tracking van geheugenreferenties. Met dank aan wushi van team509, in samenwerking met het Zero Day Initiative van TippingPoint, voor het melden van dit probleem.
WebKit
CVE-ID: CVE-2010-0048
Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 of nieuwer, Mac OS X Server v10.6.1 of nieuwer, Windows 7, Vista, XP
Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er bestaat een use-after-free-probleem bij het parseren van XML-documenten door WebKit. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde tracking van geheugenreferenties. Met dank aan wushi van team509, in samenwerking met het Zero Day Initiative van TippingPoint, voor het melden van dit probleem.
WebKit
CVE-ID: CVE-2010-0049
Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 of nieuwer, Mac OS X Server v10.6.1 of nieuwer, Windows 7, Vista, XP
Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er bestaat een use-after-free-probleem in de verwerking van HTML-elementen die tekst bevatten die van rechts naar links wordt weergegeven. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde tracking van geheugenreferenties. Met dank aan wushi van team509, in samenwerking met het Zero Day Initiative van TippingPoint, voor het melden van dit probleem.
WebKit
CVE-ID: CVE-2010-0050
Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 of nieuwer, Mac OS X Server v10.6.1 of nieuwer, Windows 7, Vista, XP
Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er bestaat een use-after-free-probleem bij het de verwerking van onjuist ingebedde HTML-tags door WebKit. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde tracking van geheugenreferenties. Met dank aan wushi van team509, in samenwerking met het Zero Day Initiative van TippingPoint, voor het melden van dit probleem.
WebKit
CVE-ID: CVE-2010-0051
Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 of nieuwer, Mac OS X Server v10.6.1 of nieuwer, Windows 7, Vista, XP
Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot de openbaarmaking van gevoelige informatie
Beschrijving: er bestaat een implementatieprobleem bij de verwerking van cross-origin opmaaksjabloonverzoeken door WebKit. Het bezoeken van een kwaadwillig vervaardigde website kan de inhoud van beschermde bronnen openbaar maken op een andere website. Deze update verhelpt het probleem door aanvullende validatie uit te voeren voor opmaaksjablonen die tijdens een cross-origin verzoek worden geladen.
WebKit
CVE-ID: CVE-2010-0052
Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 of nieuwer, Mac OS X Server v10.6.1 of nieuwer, Windows 7, Vista, XP
Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er bestaat een use-after-free-probleem bij het de verwerking van callbacks voor HTML-elementen door WebKit. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde tracking van geheugenreferenties. Met dank aan Apple.
WebKit
CVE-ID: CVE-2010-0053
Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 of nieuwer, Mac OS X Server v10.6.1 of nieuwer, Windows 7, Vista, XP
Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er bestaat een use-after-free-probleem in de weergave van materiaal met een CSS-weergave-eigenschap die ingesteld is op 'run-in'. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde tracking van geheugenreferenties. Met dank aan wushi van team509, in samenwerking met het Zero Day Initiative van TippingPoint, voor het melden van dit probleem.
WebKit
CVE-ID: CVE-2010-0054
Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 of nieuwer, Mac OS X Server v10.6.1 of nieuwer, Windows 7, Vista, XP
Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er bestaat een use-after-free-probleem bij de verwerking van HTML-afbeeldingselementen door WebKit. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde tracking van geheugenreferenties. Met dank aan Apple.
Belangrijk: Informatie over producten die niet door Apple zijn geproduceerd, wordt alleen ter informatie verstrekt en vormt geen aanbeveling of goedkeuring van Apple. Neem voor meer informatie contact op met de leverancier.