Over de beveiligingsinhoud van Safari 3.1.2 voor Windows
Dit document beschrijft de beveiligingsinhoud van Safari 3.1.2 voor Windows, die kan worden gedownload en geïnstalleerd via de voorkeuren van Software-update of via Apple Downloads.
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.
Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Zie Apple beveiligingsupdates voor meer informatie.
Safari 3.1.2 voor Windows
Safari
CVE-ID: CVE-2008-1573.
Beschikbaar voor: Windows XP of Vista
Impact: het bekijken van een kwaadwillig vervaardigde BMP- of GIF-afbeelding kan leiden tot het vrijgeven van informatie.
Beschrijving: Er kan geheugen buiten het toegestane bereik worden gelezen bij de verwerking van BMP- en GIF-afbeeldingen, wat kan leiden tot het vrijgeven van geheugeninhoud. Deze update verhelpt het probleem door aanvullende validatie van BMP- en GIF-afbeeldingen uit te voeren. Dit probleem is verholpen in systemen met Mac OS X 10.5.3 en in Mac OS X 10.4.11 met beveiligingsupdate 2008-003. Met dank aan Gynvael Coldwind van Hispasec voor het melden van dit probleem.
Safari
CVE-ID: CVE-2008-2540.
Beschikbaar voor: Windows XP of Vista
Impact: het opslaan van niet-vertrouwde bestanden op het Windows-bureaublad kan leiden tot de uitvoering van willekeurige code.
Beschrijving: Er is een probleem met de manier waarop het Windows-bureaublad omgaat met uitvoerbare bestanden. Het opslaan van een niet-vertrouwd bestand op het Windows-bureaublad kan het probleem veroorzaken en leiden tot de uitvoering van willekeurige code. Webbrowsers zijn een manier om bestanden op het bureaublad op te slaan. Om dit probleem te verhelpen, is de Safari-browser bijgewerkt en wordt de gebruiker nu gevraagdom toestemming een downloadbestand wordt opgeslagen. Ook is de standaardlocatie voor downloaden gewijzigd in de map Downloads van de gebruiker in Windows Vista en in de map Documenten van de gebruiker in Windows XP. Dit probleem doet zich niet voor op systemen met Mac OS X. Aanvullende informatie is beschikbaar op http://www.microsoft.com/technet/security/advisory/953818.mspx, waar Aviv Raff wordt bedankt voor het melden van het probleem.
Safari
CVE-ID: CVE-2008-2306.
Beschikbaar voor: Windows XP of Vista
Impact: het bezoeken van een kwaadaardige website die zich in een vertrouwde Internet Explorer-zone bevindt, kan leiden tot de automatische uitvoering van willekeurige code.
Beschrijving: Als een website zich in een Internet Explorer 7-zone bevindt en de instelling 'Toepassingen en onveilige bestanden starten' is ingesteld op 'Inschakelen', of als een website zich in de Internet Explorer 6-zone 'Lokaal intranet' of 'Vertrouwde sites' bevindt, start Safari automatisch uitvoerbare bestanden die van de site zijn gedownload. Deze update verhelpt het probleem door gedownloade uitvoerbare bestanden niet automatisch te starten en door de gebruiker om toestemming te vragen voordat een bestand wordt gedownload als de instelling 'Altijd vragen' is ingeschakeld. Dit probleem doet zich niet voor op systemen met Mac OS X. Met dank aan Will Dormann van CERT/CC voor het melden van dit probleem. Eveneens dank aan het Microsoft Security Response Center voor de gezamenlijke inspanning om dit probleem aan te pakken.
WebKit
CVE-ID: CVE-2008-2307.
Beschikbaar voor: Windows XP of Vista
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.
Beschrijving: Er is een probleem met geheugenbeschadiging bij de verwerking van JavaScript-arrays door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door een verbeterde bereikcontrole. Met dank aan James Urquhart voor het melden van dit probleem.
Belangrijk: Vermelding van websites en producten van derden is uitsluitend voor informatieve doeleinden en vormt geen goedkeuring of aanbeveling. Apple aanvaardt geen verantwoordelijkheid met betrekking tot de selectie, prestaties of het gebruik van informatie of producten op websites van derden. Apple biedt dit alleen aan voor het gemak van onze gebruikers. Apple heeft de informatie op deze sites niet getest en doet geen uitspraken over de juistheid of betrouwbaarheid ervan. Er zijn risico's verbonden aan het gebruik van informatie of producten die op internet worden gevonden en Apple aanvaardt in dit verband geen enkele verantwoordelijkheid. Het is belangrijk om je te realiseren dat een site van derden onafhankelijk is van Apple en dat Apple geen controle heeft over het materiaal op die website. Neem voor meer informatie contact op met de leverancier.