Over de beveiligingsinhoud van Safari 3.1

In dit document wordt de beveiligingsinhoud beschreven van de Safari 3.1-software, die kan worden gedownload en geïnstalleerd via de voorkeur Software-update of vanaf Apple Downloads.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Raadpleeg de website Apple productbeveiliging voor meer informatie over de Apple productbeveiliging.

Zie 'How to use the Apple Product Security PGP Key' (Hoe gebruikt u de Apple PGP-sleutel voor productbeveiliging) voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's gebruikt om verwijzingen te bieden voor kwetsbare punten voor nadere informatie.

Ga naar 'Apple beveiligingsupdates' voor meer informatie over andere beveiligingsupdates.

Dit artikel is gearchiveerd en wordt niet meer bijgewerkt door Apple.

Safari 3.1

  • Safari

    CVE-ID: CVE-2007-4680

    Beschikbaar voor: Windows XP of Vista

    Impact: een externe aanvaller kan een niet-vertrouwd certificaat doen voorkomen als vertrouwd.

    Beschrijving: er is een probleem met de validatie van certificaten. Een intermediaire aanvaller kan de gebruiker naar een legitieme site sturen met een geldig SSL-certificaat om de gebruiker daarna door te sturen naar een nagemaakte website die er onterecht uitziet als vertrouwd. Hierdoor kunnen gebruikersgegevens of andere informatie worden ingewonnen. Deze update lost het probleem op door betere controle van certificaten. Dit probleem is opgelost voor Mac OS X in Security Update 2007-008, en is verwerkt in Mac OS X v10.4.11 en Mac OS X v10.5 of later. Met dank aan Marko Karppinen, Petteri Kamppuri en Nikita Zhuk van MK&C voor het melden van dit probleem.

  • Safari

    CVE-ID: CVE-2008-0050

    Beschikbaar voor: Windows XP of Vista

    Effect: een kwaadwillige proxyserver kan beveiligde websites vervalsen

    Beschrijving: een kwaadwillige HTTPS-proxyserver kan arbitraire gegevens retourneren naar CFNetwork met een foutmelding 502 Bad Gateway, waardoor een beveiligde website kan worden vervalst. Deze update verhelpt het probleem door een fout in plaats van de gegevens van de proxy te retourneren bij een proxyfout. Deze kwestie is al verholpen in Mac OS X 10.5.2 en in Security Update 2008-002 voor systemen met Mac OS X 10.4.11.

  • Safari

    CVE-ID: CVE-2008-1001

    Beschikbaar voor: Windows XP of Vista

    Impact: het bezoeken van een kwaadaardige website kan leiden tot cross-site scripting

    Beschrijving: er is een probleem met cross-site scripting op de foutpagina van Safari. Door gebruikers ertoe te zetten een kwaadwillig vervaardigde URL te openen, kan een aanvaller gevoelige informatie achterhalen. Deze update verhelpt dit probleem door extra validatie van URLs uit te voeren. Dit probleem geldt niet voor Mac OS X-systemen. Met dank aan Robert Swiecki van Google Information Security Team voor het melden van dit probleem.

  • Safari

    CVE-ID: CVE-2008-1002

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X v10.5.2, Windows XP of Vista

    Impact: het bezoeken van een kwaadaardige website kan leiden tot cross-site scripting

    Beschrijving: er is een cross-site scripting-probleem in de verwerking van JavaScript. Door een gebruiker te verleiden een kwaadwillig vervaardigde webpagina te bezoeken, kan een aanvaller het uitvoeren van JavaScript veroorzaken in de context van een andere site. Deze update verhelpt dit probleem door extra validatie van JavaScript: URLs uit te voeren. Met dank aan Robert Swiecki van Google Information Security Team voor het melden van dit probleem.

  • WebCore

    CVE-ID: CVE-2008-1003

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X v10.5.2, Windows XP of Vista

    Impact: het bezoeken van een kwaadaardige website kan leiden tot cross-site scripting

    Beschrijving: er is een probleem met de verwerking van websites waarbij de property document.domain expliciet is ingesteld. Dit kan leiden tot een cross-site scripting-aanval in sites waarbij de document.domain property is ingesteld, of tussen HTTP- en HTTPS-sites met dezelfde document.domain. Deze update lost het probleem op door controles op gelijke oorsprong uit te voeren. Met dank aan Adam Barth en Collin Jackson van Stanford University voor het melden van dit probleem.

  • WebCore

    CVE-ID: CVE-2008-1004

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X v10.5.2, Windows XP of Vista

    Impact: het gebruik van Web Inspector op een kwaadwillig vervaardigde website kan leiden tot cross-site scripting

    Beschrijving: een probleem in Web Inspector maakt het mogelijk dat een geïnspecteerde pagina zijn rechter vergroot door script te plaatsen die in andere domeinen wordt uitgevoerd en het bestandssyteem van de gebruiker leest. Deze update verhelpt het probleem door te voorkomen dat JavaScript van externe pagina's wordt uitgevoerd. Met dank aan Collin Jackson en Adam Barth van Stanford University voor het melden van dit probleem.

  • WebCore

    CVE-ID: CVE-2008-1005

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X v10.5.2, Windows XP of Vista

    Impact: omgekeerde Kotoeri-reversie op een wachtwoordveld toont het wachtwoord

    Beschrijving: de inhoud van wachtwoordvelden wordt gewoonlijk verborgen om te voorkomen dat anderen het kunnen lezen. Er is een probleem met de Kotoeri-invoermethode dat ertoe kan leiden dat de inhoud van het wachtwoordveld wordt getoond op het scherm waarop de conversie wordt opgevraagd. Deze update verhelpt het probleem door de inhoud van wachtwoordvelden niet meer te tonen bij het gebruik van omgekeerde Kotoeri-conversie.

  • WebCore

    CVE-ID: CVE-2008-1006

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X v10.5.2, Windows XP of Vista

    Impact: het bezoeken van een kwaadaardige website kan leiden tot cross-site scripting

    Beschrijving: de functie window.open() kan worden gebruikt voor het wijzigen van de beveiligingscontext van een webpagina in de context van de aanroeper. Door een gebruiker ertoe te zetten een kwaadwillig vervaardigde webpagina te openen, kan een kwaadwillig script worden uitgevoerd in de beveiligingscontext van de gebruiker. Deze update verhelpt het probleem door te voorkomen dat de beveiligingscontext kan worden gewijzigd. Met dank aan Adam Barth en Collin Jackson van Stanford University voor het melden van dit probleem.

  • WebCore

    CVE-ID: CVE-2008-1007

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X v10.5.2, Windows XP of Vista

    Impact: het bezoeken van een kwaadaardige website kan leiden tot cross-site scripting met Java

    Beschrijving: het framenavigatiebeleid wordt niet gehandhaafd voor Java-applets. Door een gebruiker ertoe te zetten een kwaadwillig vervaardigde webpagina te openen, kan een aanvaller meer rechten krijgen door middel van een cross-site scripting-aanval met Java. Deze update verhelpt het probleem door het beleid voor frame-navigatie voor Java-applets te handhaven. Met dank aan Adam Barth en Collin Jackson van Stanford University voor het melden van dit probleem.

  • WebCore

    CVE-ID: CVE-2008-1008

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X v10.5.2, Windows XP of Vista

    Impact: het bezoeken van een kwaadaardige website kan leiden tot cross-site scripting

    Beschrijving: er is een cross-site scripting issue in de afhandeling door Safari van de document.domain property. Door een gebruiker ertoe te zetten een kwaadwillig vervaardigde website te bezoeken, kan gevoelige informatie worden vrijgegeven. Deze update verhelpt dit probleem door middel van een extra validatie van de document.domain property. Met dank aan Feng Qian voor het melden van dit probleem.

  • WebCore

    CVE-ID: CVE-2008-1009

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X v10.5.2, Windows XP of Vista

    Impact: het bezoeken van een kwaadaardige website kan leiden tot cross-site scripting

    Beschrijving: er is een JavaScript-injectieprobleem in de afhandeling van een geschiedenisobject. Hierdoor kunnen frames de property's van het geschiedenisobject instellen in alle andere frames van dezelfde webpagina. Een aanvaller kan deze kwestie uitbuiten door JavaScript te plaatsen die wordt uitgevoerd in de context van andere frames, wat leidt tot cross-site scripting. Deze update verhelpt het probleem door webpagina's niet meer toe te staan het geschiedenisobject aan te passen.

  • WebKit

    CVE-ID: CVE-2008-1010

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X v10.5.2, Windows XP of Vista

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een buffer overflow in de afhandeling van reguliere JavaScript-expressies door WebKit. Door een gebruiker ertoe te zetten een kwaadwillig vervaardigde webpagina te bezoeken, kan een toepassing onverwacht worden beëindigd of kan kwaadwillige code worden uitgevoerd. In deze update wordt dat probleem verholpen door middel van verbeterde bounds checking. Met dank aan Eric Seidel van het WebKit Open Source Project, en Tavis Ormandy en Will Drewry van Google Security Team voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2008-1011

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X v10.5.2, Windows XP of Vista

    Impact: het bezoeken van een kwaadaardige website kan leiden tot cross-site scripting

    Beschrijving: door een cross-site scripting-probleem in WebKit kunnen methods uit het ene frame worden aangeroepen vanuit een ander frame. Door een gebruiker ertoe te zetten een kwaadwillig vervaardigde website te bezoeken, kan gevoelige informatie worden vrijgegeven. Deze update verhelpt het probleem door een verbeterde afhandeling van method-aanroepen via verschillende domeinen. Met dank aan David Bloom voor het melden van dit probleem.

Belangrijk: Informatie over producten die niet door Apple zijn vervaardigd, is alleen bedoeld voor informatieve doeleinden en impliceert niet dat Apple deze producten goedkeurt of aanbeveelt. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: