Over de beveiligingsinhoud van Safari 4.0.5

In dit document wordt de beveiligingsinhoud van Safari 4.0.5 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.

Raadpleeg "De Apple PGP-sleutel voor productbeveiliging gebruiken" voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Ga naar Apple-beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

Safari 4.0.5

  • ColorSync

    CVE-ID: CVE-2010-0040

    Beschikbaar voor: Windows 7, Vista, XP

    Impact: het bekijken van een kwaadwillig vervaardigde afbeelding met een ingebed kleurprofiel kan leiden tot het onverwacht beëindigen van een programma of het uitvoeren van willekeurige code

    Beschrijving: er treedt een overloop bij gehele getallen op die kan leiden tot een heapbufferoverloop bij het verwerken van afbeeldingen met een ingebed kleurprofiel. Het openen van een kwaadwillig vervaardigde afbeelding met een ingebed kleurprofiel kan leiden tot het onverwacht beëindigen van een programma of het uitvoeren van willekeurige code. Het probleem wordt verholpen door een extra controle van de kleurprofielen uit te voeren. Dit probleem geldt niet voor Mac OS X-systemen. Met dank aan Renaud van het VUPEN Vulnerability Research Team voor het melden van dit probleem.

  • ImageIO

    CVE-ID: CVE-2009-2285

    Beschikbaar voor: Windows 7, Vista, XP

    Impact: het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er treedt een bufferonderloop op in de verwerking van TIFF-afbeeldingen door ImageIO. Het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door middel van verbeterde bounds checking. Voor Mac OS X v10.6-systemen wordt dit probleem verholpen in Mac OS X v10.6.2. Voor Mac OS X v10.5-systemen wordt dit probleem verholpen in Beveiligingsupdate 2010-001.

  • ImageIO

    CVE-ID: CVE-2010-0041

    Beschikbaar voor: Windows 7, Vista, XP

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het versturen van informatie vanuit het geheugen van Safari naar de website

    Beschrijving: er is een probleem met een niet-geïnitialiseerde geheugentoegang bij het verwerken van BMP-afbeeldingen door ImageIO. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het versturen van informatie vanuit het geheugen van Safari naar de website. Dit probleem wordt verholpen door een verbeterde afhandeling van het geheugen en een extra validatie van BMP-afbeeldingen. Met dank aan Matthew 'j00ru' Jurczyk van Hispasec voor het melden van dit probleem.

  • ImageIO

    CVE-ID: CVE-2010-0042

    Beschikbaar voor: Windows 7, Vista, XP

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het versturen van informatie vanuit het geheugen van Safari naar de website

    Beschrijving: er is een probleem met een niet-geïnitialiseerde geheugentoegang bij het verwerken van TIFF-afbeeldingen door ImageIO. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het versturen van informatie vanuit het geheugen van Safari naar de website. Dit probleem wordt verholpen door een verbeterde afhandeling van het geheugen en een extra validatie van TIFF-afbeeldingen. Met dank aan Matthew 'j00ru' Jurczyk van Hispasec voor het melden van dit probleem.

  • ImageIO

    CVE-ID: CVE-2010-0043

    Beschikbaar voor: Windows 7, Vista, XP

    Impact: het verwerken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of uitvoeren van willekeurige code

    Beschrijving: er doet zich een probleem met geheugenbeschadiging voor bij het verwerken van TIFF-afbeeldingen. Het verwerken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde afhandeling van het geheugen. Met dank aan Gus Mueller van Flying Meat voor het melden van dit probleem.

  • PubSub

    CVE-ID: CVE-2010-0044

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 of hoger, Mac OS X Server v10.6.1 of hoger, Windows 7, Vista, XP

    Impact: het bezoeken of bijwerken van een kanaal kan leiden tot het maken van een cookie, ook al is Safari geconfigureerd om cookies te blokkeren

    Beschrijving: er bestaat een implementatieprobleem bij het verwerken van cookies ingesteld door RSS- en Atom-kanalen. Een kanaal bezoeken of bijwerken kan leiden tot het maken van een cookie, ook al is Safari ingesteld om cookies te blokkeren via de voorkeur "Accepteer cookies". In deze update wordt het probleem verholpen door de voorkeurinstelling te behouden bij het bijwerken of bekijken van kanalen.

  • Safari

    CVE-ID: CVE-2010-0045

    Beschikbaar voor: Windows 7, Vista, XP

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: een probleem bij het verwerken van externe URL-schema's in Safari kan leiden tot het openen van een lokaal bestand als reactie op een URL op een webpagina. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het uitvoeren van willekeurige code. In deze update wordt dit probleem verholpen door verbeterde validatie van externe URL's. Dit probleem geldt niet voor Mac OS X-systemen. Met dank aan Billy Rios en Microsoft Vulnerability Research (MSVR) voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-0046

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 of hoger, Mac OS X Server v10.6.1 of hoger, Windows 7, Vista, XP

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een probleem met betrekking tot geheugenbeschadiging bij de verwerking van argumenten in CSS-structuur() door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde verwerking van argumenten in CSS-structuur(). Met dank aan Robert Swiecki van Google Inc. voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-0047

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 of hoger, Mac OS X Server v10.6.1 of hoger, Windows 7, Vista, XP

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er doet zich een probleem voor bij gebruik na een gratis periode bij de verwerking van fallbackinhoud van een HTML-objectelement. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde referentietracering in het geheugen. Met dank aan wushi van team509, in samenwerking met het Zero Day Initiative van TippingPoint, voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-0048

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 of hoger, Mac OS X Server v10.6.1 of hoger, Windows 7, Vista, XP

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er doet zich een probleem voor bij gebruik na een gratis periode bij de parsering van XML-documenten door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde referentietracering in het geheugen. Met dank aan wushi van team509, in samenwerking met het Zero Day Initiative van TippingPoint, voor het melden van dit probleem.

  • Webkit

    CVE-ID: CVE-2010-0049

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 of hoger, Mac OS X Server v10.6.1 of hoger, Windows 7, Vista, XP

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er doet zich een probleem voor bij gebruik na een gratis periode bij de verwerking van HTML-elementen met tekst die van rechts naar links wordt weergegeven. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde referentietracering in het geheugen. Met dank aan wushi van team509 in samenwerking met het Zero Day Initiative van TippingPoint voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-0050

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 of hoger, Mac OS X Server v10.6.1 of hoger, Windows 7, Vista, XP

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er doet zich een probleem voor bij gebruik na een gratis periode bij de verwerking van onjuist geneste HTML-tags door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde referentietracering in het geheugen. Met dank aan wushi van team509 in samenwerking met het Zero Day Initiative van TippingPoint voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-0051

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 of hoger, Mac OS X Server v10.6.1 of hoger, Windows 7, Vista, XP

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het openbaar maken van vertrouwelijke informatie

    Beschrijving: er treedt een probleem op bij de implementatie van Webkit's afhandeling van cross-origin stijlbladverzoeken. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het openbaar maken van de inhoud van beschermde bronnen op een andere website. In deze update wordt het probleem verholpen door een extra validatie van de stijlbladen uit te voeren die tijdens een cross-origin verzoek worden geladen.

  • WebKit

    CVE-ID: CVE-2010-0052

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 of hoger, Mac OS X Server v10.6.1 of hoger, Windows 7, Vista, XP

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er doet zich een probleem voor bij gebruik na een gratis periode bij de verwerking van callbacks voor HTML-elementen door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde referentietracering in het geheugen. Met dank aan Apple.

  • WebKit

    CVE-ID: CVE-2010-0053

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 of hoger, Mac OS X Server v10.6.1 of hoger, Windows 7, Vista, XP

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er doet zich een probleem voor bij gebruik na een gratis periode bij de weergave van inhoud met een CSS-weergave-eigenschap ingesteld op 'run-in'. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde referentietracering in het geheugen. Met dank aan wushi van team509 in samenwerking met het Zero Day Initiative van TippingPoint voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-0054

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 of hoger, Mac OS X Server v10.6.1 of hoger, Windows 7, Vista, XP

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er doet zich een probleem voor bij gebruik na een gratis periode bij de verwerking van HTML-afbeeldingselementen door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde referentietracering in het geheugen. Met dank aan: Apple.

Belangrijk: Informatie over producten die niet door Apple zijn vervaardigd, is alleen bedoeld voor informatieve doeleinden en impliceert niet dat Apple deze producten goedkeurt of aanbeveelt. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: