Om sikkerhetsinnholdet i Safari 3.2

Dette dokumentet beskriver sikkerhetsinnholdet i Safari 3.2.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple-produktsikkerhet på nettstedet for Apple-produktsikkerhet.

Mer informasjon finnes her: Slik bruker du PGP-nøkkelen for Apple-produktsikkerhet.

Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.

Mer informasjon om andre sikkerhetsoppdateringer finnes her: Apple-sikkerhetsoppdateringer.

Safari 3.2

• Safari

  CVE-ID: CVE-2005-2096

  Tilgjengelig for: Windows XP eller Vista

  Virkning: Flere svakheter i zlib 1.2.2

  Beskrivelse: Det finnes flere svakheter i zlib 1.2.2, og den alvorligste kan føre til tjenestenekt. Denne oppdateringen løser problemene ved å oppdatere til zlib 1.2.3. Problemene påvirker ikke Mac OS X-systemer. Takk til Robbie Joosten fra bioinformatics@school og David Gunnells ved University of Alabama at Birmingham som rapporterte disse problemene.

• Safari

  CVE-ID: CVE-2008-1767

  Tilgjengelig for: Windows XP eller Vista

  Virkning: Behandling av et XML-dokument kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

  Beskrivelse: Det er et problem med heap-bufferoverflyt i libxslt-biblioteket. Visning av en skadelig HTML-side kan føre til uventet avslutning av app eller utføring av vilkårlig kode. Mer informasjon om oppdateringen som installeres, er tilgjengelig via http://xmlsoft.org/XSLT/ Problemet påvirker ikke Mac OS X-systemer der sikkerhetsoppdatering 2008-007 er installert. Takk til Anthony de Almeida Lopes fra Outpost24 AB og Chris Evans fra Google Security Team som rapporterte dette problemet.

• Safari

  CVE-ID: CVE-2008-3623

  Tilgjengelig for: Windows XP eller Vista

  Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

  Beskrivelse: Det er et problem med håndteringen av fargeområder i CoreGraphics. Visning av et skadelig bilde kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Denne oppdateringen løser problemet gjennom forbedret grensekontroll. Kreditert: Apple.

• Safari

  CVE-ID: CVE-2008-2327

  Tilgjengelig for: Windows XP eller Vista

  Virkning: Visning av et skadelig TIFF-bilde kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

  Beskrivelse: Det er flere problemer med tilgang til ikke-initialisert minne i libTIFFs håndtering av LZW-kodede TIFF-bilder. Visning av et skadelig TIFF-bilde kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode. Denne oppdateringen løser problemet gjennom riktig initialisering av minnet og ekstra validering av TIFF-bilder. Dette problemet er løst i systemer som kjører Mac OS X v10.5.5 eller nyere, og i Mac OS X v10.4.11-systemer der sikkerhetsoppdatering 2008-006 er installert. Kreditert: Apple.

• Safari

  CVE-ID: CVE-2008-2332

  Tilgjengelig for: Windows XP eller Vista

  Virkning: Visning av et skadelig TIFF-bilde kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

  Beskrivelse: Det er et problem med skadet minne i ImageIOs håndtering av TIFF-bilder. Visning av et skadelig TIFF-bilde kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode. Denne oppdateringen løser problemet gjennom forbedret behandling av TIFF-bilder. Dette problemet er løst i systemer som kjører Mac OS X v10.5.5 eller nyere, og i Mac OS X v10.4.11-systemer der sikkerhetsoppdatering 2008-006 er installert. Takk til Robert Swiecki fra Google Security Team som rapporterte dette problemet.

• Safari

  CVE-ID: CVE-2008-3608

  Tilgjengelig for: Windows XP eller Vista

  Virkning: Visning av et skadelig JPEG-bilde kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

  Beskrivelse: Det er et problem med skadet minne i ImageIOs håndtering av innebygde ICC-profiler i JPEG-bilder. Visning av et stort skadelig JPEG-bilde kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Denne oppdateringen løser problemet gjennom forbedret behandling av ICC-profiler. Dette problemet er løst i systemer som kjører Mac OS X v10.5.5 eller nyere, og i Mac OS X v10.4.11-systemer der sikkerhetsoppdatering 2008-006 er installert. Kreditert: Apple.

• Safari

  CVE-ID: CVE-2008-3642

  Tilgjengelig for: Windows XP eller Vista

  Virkning: Visning av et skadelig bilde kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

  Beskrivelse: Det er et problem med bufferoverflyt i håndteringen av bilder med en innebygd ICC-profil. Åpning av et skadelig bilde med innebygd ICC-profil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Denne oppdateringen løser problemet gjennom ytterligere validering av ICC-profiler i bilder. Dette problemet påvirker ikke Mac OS X-systemer der sikkerhetsoppdatering 2008-007 er installert. Kreditert: Apple.

• Safari

  CVE-ID: CVE-2008-3644

  Tilgjengelig for: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP eller Vista

  Virkning: Sensitiv informasjon kan bli avslørt til en lokal konsollbruker

  Beskrivelse: Deaktivering av autofullføring i et skjemafelt hindrer kanskje ikke dataene i feltet fra å bli lagret i nettleserens buffer. Dette kan føre til at sensitiv informasjon avsløres til en lokal bruker. Denne oppdateringen løser problemet ved å tømme skjemadataene fullstendig. Takk til en anonym forsker, som rapporterte dette problemet.

• WebKit

  CVE-ID: CVE-2008-2303

  Tilgjengelig for: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP eller Vista

  Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

  Beskrivelse: Et signedness-problem i Safaris håndtering av JavaScript-arrayindekser kan føre til tilgang til minne utenfor grensene. Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode. Denne oppdateringen løser problemet ved å utføre ytterligere validering av JavaScript-arrayindekser. Takk til SkyLined hos Google for rapportering av problemet.

• WebKit

  CVE-ID: CVE-2008-2317

  Tilgjengelig for: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP eller Vista

  Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

  Beskrivelse: Det er et problem med skadet minne i WebCores håndtering av stildokumentelementer. Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode. Denne oppdateringen løser problemet gjennom forbedret søppelinnsamling. Takk til en anonym forsker i samarbeid med TippingPots Zero Day Initiative for å ha rapportert dette problemet.

• WebKit

  CVE-ID: CVE-2008-4216

  Tilgjengelig for: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP eller Vista

  Virkning: Besøk på et skadelig nettsted kan føre til avsløring av sensitiv informasjon

  Beskrivelse: WebKits grensesnitt for programtillegg stopper ikke programtillegg i å starte lokale nettadresser. Besøk på et skadelig nettsted kan gjøre en ekstern angriper i stand til å starte lokale filer i Safari, noe som kan føre til at sensitiv informasjon avsløres. Denne oppdateringen løser problemet ved å begrense typene nettadresser som kan startes via programtillegget. Takk til Billy Rios fra Microsoft og Nitesh Dhanjani fra Ernst & Young som rapporterte problemet.