Over de beveiligingsinhoud van Safari 4.0.5

In dit document wordt de beveiligingsinhoud van Safari 4.0.5 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.

Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Zie Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

Safari 4.0.5

  • ColorSync

    CVE-ID: CVE-2010-0040

    Beschikbaar voor: Windows 7, Vista, XP

    Impact: het bekijken van een kwaadwillig vervaardigde afbeelding met een ingebed kleurprofiel kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een overloop van hele getallen bij de verwerking van afbeeldingen met een ingebed kleurprofiel die kan leiden tot een heapbufferoverloop. Het openen van een kwaadwillig vervaardigde afbeelding met een ingebed kleurprofiel kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door aanvullende validatie van kleurprofielen uit te voeren. Dit probleem is niet van invloed op systemen met Mac OS X. Met dank aan Sebastien Renaud van VUPEN Vulnerability Research Team voor het melden van dit probleem.

  • ImageIO

    CVE-ID: CVE-2009-2285

    Beschikbaar voor: Windows 7, Vista, XP

    Impact: het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is sprake van een bufferonderloop bij de verwerking van TIFF-afbeeldingen door ImageIO. Het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde bereikcontrole. Voor systemen met Mac OS X v10.6 wordt dit probleem verholpen in Mac OS X v10.6.2. Voor systemen met Mac OS X v10.5 wordt dit probleem verholpen in beveiligingsupdate 2010-001.

  • ImageIO

    CVE-ID: CVE-2010-0041

    Beschikbaar voor: Windows 7, Vista, XP

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan ervoor zorgen dat gegevens vanuit het geheugen van Safari naar de website verstuurd worden

    Beschrijving: er bestaat een probleem met niet-geïnitialiseerde geheugentoegang bij de verwerking van BMP-afbeeldingen door ImageIO. Het bezoeken van een kwaadwillig vervaardigde website kan ervoor zorgen dat gegevens vanuit het geheugen van Safari naar de website verstuurd worden. Dit probleem wordt verholpen door verbeterde verwerking van het geheugen en aanvullende validatie van BMP-afbeeldingen. Met dank aan Matthew 'j00ru' Jurczyk van Hispasec voor het melden van dit probleem.

  • ImageIO

    CVE-ID: CVE-2010-0042

    Beschikbaar voor: Windows 7, Vista, XP

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan ervoor zorgen dat gegevens vanuit het geheugen van Safari naar de website verstuurd worden

    Beschrijving: er bestaat een probleem met niet-geïnitialiseerde geheugentoegang bij de verwerking van TIFF-afbeeldingen door ImageIO. Het bezoeken van een kwaadwillig vervaardigde website kan ervoor zorgen dat gegevens vanuit het geheugen van Safari naar de website verstuurd worden. Dit probleem wordt verholpen door verbeterde verwerking van het geheugen en aanvullende validatie van TIFF-afbeeldingen. Met dank aan Matthew 'j00ru' Jurczyk van Hispasec voor het melden van dit probleem.

  • ImageIO

    CVE-ID: CVE-2010-0043

    Beschikbaar voor: Windows 7, Vista, XP

    Impact: het verwerken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een probleem met geheugenbeschadiging bij de verwerking van TIFF-afbeeldingen. Het verwerken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde verwerking van het geheugen. Met dank aan Gus Mueller van Flying Meat voor het melden van dit probleem.

  • PubSub

    CVE-ID: CVE-2010-0044

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 of nieuwer, Mac OS X Server v10.6.1 of nieuwer, Windows 7, Vista, XP

    Impact: het bekijken of bijwerken van een feed kan ertoe leiden dat een cookie wordt ingesteld, zelfs als Safari geconfigureerd is om cookies te blokkeren

    Beschrijving: er is een implementatieprobleem bij de verwerking van cookies die worden ingesteld door RSS- en Atom-feeds. Het bekijken of bijwerken van een feed kan ertoe leiden dat een cookie wordt ingesteld, zelfs als Safari met de voorkeur 'Accepteer cookies' geconfigureerd is om cookies te blokkeren. Deze update verhelpt het probleem door de voorkeur te respecteren bij het bijwerken of bekijken van feeds.

  • Safari

    CVE-ID: CVE-2010-0045

    Available for: Windows 7, Vista, XP

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: een probleem in de verwerking van externe URL-schema's door Safari's kan ervoor zorgen dat een lokaal bestand wordt geopend als reactie op een URL die op een website wordt aangetroffen. het bezoeken van een kwaadwillig vervaardigde website kan leiden tot het uitvoeren van willekeurige code. Deze update lost het probleem op door verbeterde validatie van externe URL’s. Dit probleem is niet van invloed op systemen met Mac OS X. Met dank aan Billy Rios en Microsoft Vulnerability Research (MSVR) voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-0046

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 of nieuwer, Mac OS X Server v10.6.1 of nieuwer, Windows 7, Vista, XP

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een probleem met geheugenbeschadiging in de verwerking van argumenten in CSS-indeling() door WebKit. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door verbeterde verwerking van argumenten in CSS-indeling(). Met dank aan Robert Swiecki van Google Inc. voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-0047

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 of nieuwer, Mac OS X Server v10.6.1 of nieuwer, Windows 7, Vista, XP

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een use-after-free-probleem in de verwerking van alternatief materiaal voor HTML-objectelementen. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde tracking van geheugenreferenties. Met dank aan wushi van team509, in samenwerking met het Zero Day Initiative van TippingPoint, voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-0048

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 of nieuwer, Mac OS X Server v10.6.1 of nieuwer, Windows 7, Vista, XP

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een use-after-free-probleem bij het parseren van XML-documenten door WebKit. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde tracking van geheugenreferenties. Met dank aan wushi van team509, in samenwerking met het Zero Day Initiative van TippingPoint, voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-0049

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 of nieuwer, Mac OS X Server v10.6.1 of nieuwer, Windows 7, Vista, XP

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een use-after-free-probleem in de verwerking van HTML-elementen die tekst bevatten die van rechts naar links wordt weergegeven. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde tracking van geheugenreferenties. Met dank aan wushi van team509, in samenwerking met het Zero Day Initiative van TippingPoint, voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-0050

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 of nieuwer, Mac OS X Server v10.6.1 of nieuwer, Windows 7, Vista, XP

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een use-after-free-probleem bij het de verwerking van onjuist ingebedde HTML-tags door WebKit. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde tracking van geheugenreferenties. Met dank aan wushi van team509, in samenwerking met het Zero Day Initiative van TippingPoint, voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-0051

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 of nieuwer, Mac OS X Server v10.6.1 of nieuwer, Windows 7, Vista, XP

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot de openbaarmaking van gevoelige informatie

    Beschrijving: er bestaat een implementatieprobleem bij de verwerking van cross-origin opmaaksjabloonverzoeken door WebKit. Het bezoeken van een kwaadwillig vervaardigde website kan de inhoud van beschermde bronnen openbaar maken op een andere website. Deze update verhelpt het probleem door aanvullende validatie uit te voeren voor opmaaksjablonen die tijdens een cross-origin verzoek worden geladen.

  • WebKit

    CVE-ID: CVE-2010-0052

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 of nieuwer, Mac OS X Server v10.6.1 of nieuwer, Windows 7, Vista, XP

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een use-after-free-probleem bij het de verwerking van callbacks voor HTML-elementen door WebKit. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde tracking van geheugenreferenties. Met dank aan Apple.

  • WebKit

    CVE-ID: CVE-2010-0053

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 of nieuwer, Mac OS X Server v10.6.1 of nieuwer, Windows 7, Vista, XP

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een use-after-free-probleem in de weergave van materiaal met een CSS-weergave-eigenschap die ingesteld is op 'run-in'. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde tracking van geheugenreferenties. Met dank aan wushi van team509, in samenwerking met het Zero Day Initiative van TippingPoint, voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-0054

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 of nieuwer, Mac OS X Server v10.6.1 of nieuwer, Windows 7, Vista, XP

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een use-after-free-probleem bij de verwerking van HTML-afbeeldingselementen door WebKit. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde tracking van geheugenreferenties. Met dank aan Apple.

Belangrijk: Informatie over producten die niet door Apple zijn geproduceerd, wordt alleen ter informatie verstrekt en vormt geen aanbeveling of goedkeuring van Apple. Neem voor meer informatie contact op met de leverancier.

Publicatiedatum: