Om sikkerhetsinnholdet i Safari 4.0.3
Dette dokumentet beskriver sikkerhetsinnholdet i Safari 4.0.3.
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple-produktsikkerhet på nettstedet for Apple-produktsikkerhet.
Hvis du vil ha mer informasjon om PGP-nøkkelen for Apple-produktsikkerhet, kan du lese «Slik bruker du PGP-nøkkelen for Apple-produktsikkerhet.»
Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.
Mer informasjon om andre sikkerhetsoppdateringer finnes her: Apple sikkerhetsoppdateringer.
Safari 4.0.3
CoreGraphics
CVE-ID: CVE-2009-2468
Tilgjengelig for: Windows XP og Vista
Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode
Beskrivelse: Det er en overflyt av minnebufferen i tegningen av lange tekststrenger. Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode. Denne oppdateringen løser problemet gjennom forbedret grensekontroll. Takk til Will Drewry hos Google Inc., som rapporterte dette problemet.
ImageIO
CVE-ID: CVE-2009-2188
Tilgjengelig for: Windows XP og Vista
Virkning: Visning av et skadelig bilde kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det foreligger bufferoverflyt i håndteringen av EXIF-metadata. Visning av et skadelig bilde kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Denne oppdateringen løser problemet gjennom forbedret grensekontroll.
Safari
CVE-ID: CVE-2009-2196
Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows XP og Vista
Virkning: Et skadelig nettsted kan bli forfremmet til Safaris Toppsider-visning
Beskrivelse: Safari 4 introduserte Toppsider-funksjonen for å gi en rask oversikt over favorittnettstedene til en bruker. Det er mulig at et skadelig nettsted forfremmer vilkårlige nettsteder til Toppsider-visningen gjennom automatiserte handlinger. Dette kan brukes til å legge til rette for et phishingangrep. Dette problemet løses ved å hindre automatiserte nettstedbesøk fra å påvirke Toppsider-listen. Kun nettsteder som brukeren besøker manuelt, kan bli inkludert i Toppsider-listen. Safari aktiverer registrering av forfalskede nettsteder som standard. Siden introduksjonen av Toppsider-funksjonen vises ikke forfalskede nettsteder i Toppsider-visningen. Takk til Inferno hos SecureThoughts.com, som rapporterte dette problemet.
WebKit
CVE-ID: CVE-2009-2195
Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows XP og Vista
Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode
Beskrivelse: Det er en bufferoverflyt i WebKits analysering av flyttall. Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode. Denne oppdateringen løser problemet gjennom forbedret grensekontroll. Kreditert: Apple.
WebKit
CVE-ID: CVE-2009-2200
Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows XP og Vista
Virkning: Besøk på et skadelig nettsted og å klikke på «Kjør» ved visning av dialogen for et skadelig programtillegg kan føre til avsløring av sensitiv informasjon
Beskrivelse: WebKit tillater at pluginspage-attributtet til «integrer»-elementet viser til nettadresser for filer. Det å klikke på «Kjør» i dialogen som vises når det vises til en ukjent type programtillegg, omdirigerer til nettadressen som er oppført i pluginspage-attributtet. Dette kan tillate at en ekstern angriper kan kjøre nettadresser for filer i Safari og føre til avsløring av sensitiv informasjon. Denne oppdateringen løser problemet ved å begrense pluginspage-nettadressen til http eller https. Takk til Alexios Fakos hos n.runs AG, som rapporterte dette problemet.
WebKit
CVE-ID: CVE-2009-2199
Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows XP og Vista
Virkning: Tegn som ser like ut i en nettadresse, kan brukes til å maskere et nettsted
Beskrivelse: IDN-støtte (International Domain Name) og Unicode-fonter som er integrert i Safari, kan brukes til å opprette en nettadresse med tegn som ser like ut. Disse kan brukes på et skadelig nettsted for å sende brukeren til et forfalsket nettsted som visuelt ser ut til å være et legitimt domene. Denne oppdateringen løser problemet ved å supplere WebKits liste over kjente tegn som ser like ut. Tegn som ser like ut, gjengis i Punycode på adresselinjen. Takk til Chris Weber fra Casaba Security, LLC, som rapporterte dette problemet.
Viktig: Informasjon om produkter som ikke er produsert av Apple, oppgis kun for informasjonsformål og utgjør ikke noen godkjenning eller anbefaling fra Apple. Du kan kontakte leverandøren for å få mer informasjon.