Over de beveiligingsinhoud van Safari 5.0.1 en Safari 4.1.1

In dit document wordt de beveiligingsinhoud van Safari 5.0.1 en Safari 4.1.1 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.

Raadpleeg "De Apple PGP-sleutel voor productbeveiliging gebruiken" voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Ga naar "Apple-beveiligingsupdates" voor meer informatie over andere beveiligingsupdates.

Safari 5.0.1 en Safari 4.1.1

  • Safari

    CVE-ID: CVE-2010-1778

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of hoger, Mac OS X Server v10.6.2 of hoger, Windows 7, Vista, XP SP2 of hoger

    Impact: toegang tot een kwaadwillig vervaardigd RSS-kanaal kan leiden tot het versturen van bestanden vanaf het systeem van de gebruiker naar een server op afstand

    Beschrijving: er bestaat een 'cross-site-scripting'-probleem bij de verwerking van RSS-kanalen door Safari. Toegang tot een kwaadwillig vervaardigd RSS-kanaal kan leiden tot het versturen van bestanden vanaf het systeem van de gebruiker naar een server op afstand. Dit probleem wordt verholpen door een verbeterde verwerking van RSS-kanalen. Met dank aan Billy Rios van het Google Security Team voor het melden van dit probleem.

  • Safari

    CVE-ID: CVE-2010-1796

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of hoger, Mac OS X Server v10.6.2 of hoger, Windows 7, Vista, XP SP2 of hoger

    Impact: de functie Vul automatisch in van Safari kan informatie vrijgeven op websites zonder interactie van de gebruiker

    Beschrijving: de functie Vul automatisch in van Safari kan automatisch webformulieren invullen met opgegeven informatie in uw Mac OS X-adresboek, Outlook of Windows-adresboek.  Standaard vereist Vul automatisch in een actie van de gebruiker om te werken in een webformulier. Er is een implementatieprobleem waardoor een kwaadwillig vervaardigde website de automatische invulling zonder interactie van de gebruiker kan veroorzaken. Dit kan leiden tot het vrijgeven van informatie uit een Adresboek-kaart van de gebruiker. De volgende twee situaties zijn vereist om het probleem te reproduceren. Ten eerste moet in de voorkeuren van Safari, onder Formulieren, het aankruisvak "Op basis van de gegevens in mijn Adresboek-kaart" aangevinkt zijn. Ten tweede moet het Adresboek van de gebruiker een kaart met de naam "Mijn kaart" hebben. Alleen de informatie in die specifieke kaart is beschikbaar voor Vul automatisch in. Dit probleem wordt verholpen door te voorkomen dat Vul automatisch in informatie gebruikt zonder interactie van de gebruiker. Dit probleem is niet van invloed op apparaten met het iOS. Met dank aan Jeremiah Grossman van WhiteHat Security voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1780

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of hoger, Mac OS X Server v10.6.2 of hoger, Windows 7, Vista, XP SP2 of hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er treedt een 'use after free'-probleem op bij de verwerking van de elementfocus door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde verwerking van de elementfocus. Met dank aan Tony Chang van Google, Inc. voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1782

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of hoger, Mac OS X Server v10.6.2 of hoger, Windows 7, Vista, XP SP2 of hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een probleem met geheugenbeschadiging bij het omzetten van inline elementen. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde bounds checking. Met dank aan wushi van team509 voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1783

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of hoger, Mac OS X Server v10.6.2 of hoger, Windows 7, Vista, XP SP2 of hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een probleem met geheugenbeschadiging bij de verwerking van dynamische aanpassingen naar tekstknooppunten door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterd beheer van het geheugen.

  • WebKit

    CVE-ID: CVE-2010-1784

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of hoger, Mac OS X Server v10.6.2 of hoger, Windows 7, Vista, XP SP2 of hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een probleem met geheugenbeschadiging bij de verwerking van CSS counters door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterd beheer van het geheugen. Met dank aan wushi van team509 in samenwerking met het Zero Day Initiative van TippingPoint voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1785

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of hoger, Mac OS X Server v10.6.2 of hoger, Windows 7, Vista, XP SP2 of hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er treedt een probleem met een niet-geïnitialiseerde geheugentoegang op bij de verwerking van de pseudo-elementen :first letter en :first-line in SVG-tekstelementen door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door het niet omzetten van de pseudo-elementen :first-letter en :first-line in SVG-tekstelementen. Met dank aan wushi van team509 in samenwerking met het Zero Day Initiative van TippingPoint voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1786

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of hoger, Mac OS X Server v10.6.2 of hoger, Windows 7, Vista, XP SP2 of hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er treedt een 'use after free'-probleem op bij het verwerken van foreignObject-elementen in SVG-documenten diir WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een extra validatie van SVG-documenten. Met dank aan wushi van team509 in samenwerking met het Zero Day Initiative van TippingPoint voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1787

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of hoger, Mac OS X Server v10.6.2 of hoger, Windows 7, Vista, XP SP2 of hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er treedt een probleem met geheugenbeschadiging op bij de verwerking van zwevende elementen in SVG-documenten door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterd beheer van het geheugen. Met dank aan wushi van team509 in samenwerking met het Zero Day Initiative van TippingPoint voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1788

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of hoger, Mac OS X Server v10.6.2 of hoger, Windows 7, Vista, XP SP2 of hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er treedt een probleem met geheugenbeschadiging op bij de verwerking van 'use'-elementen in SVG-documenten door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde verwerking van 'use'-elementen in SVG-documenten. Met dank aan Justin Schuh van Google, Inc. voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1789

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of hoger, Mac OS X Server v10.6.2 of hoger, Windows 7, Vista, XP SP2 of hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een heapbufferoverloop bij de verwerking van JavaScript-stringobjecten door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde bounds checking. Met dank aan Apple.

  • WebKit

    CVE-ID: CVE-2010-1790

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of hoger, Mac OS X Server v10.6.2 of hoger, Windows 7, Vista, XP SP2 of hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een probleem met herintreding bij de verwerking van net op tijd gecompileerde JavaScript-stubs door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde synchronisatie.

  • WebKit

    CVE-ID: CVE-2010-1791

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of hoger, Mac OS X Server v10.6.2 of hoger, Windows 7, Vista, XP SP2 of hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een probleem met getekendheid bij de verwerking van JavaScript-arrays door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde verwerking van JavaScript-array-indices. Met dank aan Natalie Silvanovich voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1792

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of hoger, Mac OS X Server v10.6.2 of hoger, Windows 7, Vista, XP SP2 of hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een probleem met geheugenbeschadiging bij de verwerking van reguliere expressies door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde verwerking van reguliere expressies. Met dank aan Peter Varga van University of Szeged voor het melden van dit probleem.

  • WebKit

    CVE-ID: CVE-2010-1793

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 of hoger, Mac OS X Server v10.6.2 of hoger, Windows 7, Vista, XP SP2 of hoger

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een 'use after free'-probleem bij de verwerking van "font-face"- en "use"-elementen in SVG-documenten door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door een verbeterde verwerking van "font-face"- en "use"-elementen in SVG-documenten. Met dank aan Aki Helin van OUSPG voor het melden van dit probleem.

Publicatiedatum: