Over de beveiligingsinhoud van Safari 3.1.1

In dit document wordt de beveiligingsinhoud beschreven van de Safari 3.1.1-software, die gedownload en geïnstalleerd kan worden via de voorkeur Software-update of vanaf Apple Downloads.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet tot een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Raadpleeg de website Apple Product Security voor meer informatie over de beveiliging van Apple-producten.

Zie "Hoe gebruikt u de Apple Product Security PGP-sleutel?" voor meer informatie over het gebruik van de Apple Product Security PGP-sleutel.

Waar mogelijk worden CVE-ID's gebruikt om kwetsbare punten te refereren voor nadere informatie.

Zie "Apple Security-updates" voor meer informatie over overige beveiligingsupdates.

Dit artikel is gearchiveerd en wordt niet meer bijgewerkt door Apple.

Safari 3.1.1

  • Safari
    CVE-ID: CVE-2007-2398
    Beschikbaar voor: Windows XP of Vista
    Impact: een kwaadwillige vervaardigde website kan de inhoud van de adresbalk controleren
    Beschrijving: vanwege een timingprobleem in Safari 3.1 kan een webpagina de inhoud van de adresbalk wijzigen zonder de inhoud van de overeenkomstige pagina te laden. Dit kan worden gebruikt om de inhoud van een geldige site na te bootsen, om zo gebruikersgegevens of andere informatie te verzamelen. Dit probleem was verholpen in Safari Beta 3.0.2, maar werd opnieuw geïntroduceerd in Safari 3.1. Deze update lost het probleem op door de inhoud van de adresbalk te herstellen als een verzoek voor een nieuwe webpagina is beëindigd. Dit probleem geldt niet voor Mac OS X-systemen.

     

  • Safari
    CVE-ID: CVE-2008-1024
    Beschikbaar voor: Windows XP of Vista
    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van de toepassing of het uitvoeren van willekeurige code.
    Beschrijving: er bestaat een probleem met geheugenbeschadiging bij het downloaden van bestanden in Safari. Door een gebruiker aan te zetten om een .download-bestand met een kwaadwillig vervaardigde naam te openen, kan een agressor zorgen voor een onverwachte afsluiting van de toepassing of voor de uitvoering van willekeurige code. In deze update wordt het probleem verholpen dankzij een verbeterde afhandeling van downploads van bestanden. Dit probleem geldt niet voor Mac OS X-systemen.

     

  • WebKit
    CVE-ID: CVE-2008-1025
    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2, Windows XP of Vista
    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot cross-site scripting
    Beschrijving: er bestaat een probleem met de manier waarop WebKi URL's verwerkt waarin de hostnaam een dubbelpunt bevat. Het openen van een kwaadwillig vervaardigde URL kan een cross-site scriptingaanval doen ontstaan. Deze update verhelpt het probleem door een verbeterde afhandeling van URL's. Dank aan Robert Swiecki van Google Information Security Team en David Bloom voor het melden van dit probleem.

     

  • WebKit
    CVE-ID: CVE-2008-1026
    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2, Windows XP of Vista
    Impact: het bekijken van een kwaadwillig vervaardigde webpagina kan leiden tot het onverwacht beëindigen van de toepassing of het uitvoeren van willekeurige code.
    Beschrijving: er bestaat een heap-bufferoverloop in de behandeling van reguliere JavaScript-expressies door WebKit. Dit probleem kan ontstaan via JavaScript bij de verwerking van reguliere expressies met grote aantallen geneste herhalingen. Dit kan leiden tot het onverwacht beëindigen van de toepassing of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door een extra validatie van reguliere JavaScript-expressies uit te voeren. Dank aan Charlie Miller voor het melden van deze problemen.

Belangrijk: Informatie over producten die niet door Apple zijn vervaardigd, is alleen bedoeld voor informatieve doeleinden en impliceert niet dat Apple deze producten goedkeurt of aanbeveelt. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: