Denne artikkelen har blitt arkivert og oppdateres ikke lenger av Apple.

Om sikkerhetsinnholdet i Safari 4.0.4

Dette dokumentet beskriver sikkerhetsinnholdet i Safari 4.0.4.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple-produktsikkerhet på nettstedet for Apple-produktsikkerhet.

Hvis du vil ha mer informasjon om PGP-nøkkelen for Apple-produktsikkerhet, kan du lese «Slik bruker du PGP-nøkkelen for Apple-produktsikkerhet

Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.

Mer informasjon om andre sikkerhetsoppdateringer finnes her: Apple sikkerhetsoppdateringer.

Safari 4.0.4

  • ColorSync

    CVE-ID: CVE-2009-2804

    Tilgjengelig for: Windows 7, Vista, XP

    Virkning: Åpning av et skadelig bilde med innebygd fargeprofil kan føre til at et program avsluttes uventet eller utføring av vilkårlig kode

    Beskrivelse: Det finnes en heltallsoverflyt i håndteringen av bilder med innebygd fargeprofil, som kan føre til en heap-bufferoverflyt. Åpning av et skadelig bilde med innebygd fargeprofil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Problemet løses gjennom ekstra kontroll av fargeprofiler. Problemet påvirker ikke Mac OS X v10.6-systemer. Problemet har allerede blitt rettet opp i Security Update 2009-005 for Mac OS X 10.5.8-systemer. Kreditert: Apple.

  • libxml

    CVE-ID: CVE-2009-2414, CVE-2009-2416

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Windows 7, Vista, XP

    Virkning: Analyse av skadelig XML-innhold kan føre til at et program avsluttes uventet

    Beskrivelse: Flere bruk-etter-frigivelse-problemer finnes i libxml2, der det mest alvorlige kan føre til at et program avsluttes uventet. Denne oppdateringen løser problemene med forbedret minnebehandling. Problemene er allerede løst i Mac OS X 10.6.2 og i Security Update 2009-006 for Mac OS X 10.5.8-systemer.

  • Safari

    CVE-ID: CVE-2009-2842

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 and v10.6.2, Mac OS X Server v10.6.1 og v10.6.2, Windows 7, Vista, XP

    Virkning: Bruk av snarveimenyvalg på et skadelig nettsted kan føre til kompromittering av lokal informasjon

    Beskrivelse: Det er et problem i Safaris håndtering av navigering som innledes med snarveimenyvalgene «Åpne bilde i ny fane», «Åpne bilde i nytt vindu» og «Åpne kobling i ny fane». Bruk av disse valgene på et skadelig nettsted kan laste en lokal HTML-fil, slik at sensitiv informasjon deles. Problemet løses ved å deaktivere de oppførte snarveimenyvalgene når målet for en kobling er en lokal fil.

  • WebKit

    CVE-ID: CVE-2009-2816

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 and v10.6.2, Mac OS X Server v10.6.1 og v10.6.2, Windows 7, Vista, XP

    Virkning: Besøk på et skadelig nettsted kan føre til uventede handlinger på andre nettsteder

    Beskrivelse: Det er et problem i WebKits implementering av ressursdeling på tvers av opprinnelsessteder. Før en side fra ett sted får tilgang til en ressurs på et annet sted, sender WebKit en innledende forespørsel til sistnevnte tjener om tilgang til ressursen. WebKit inkluderer tilpassede HTTP-hoder som angis av siden som spør i den innledende forespørselen. Dette kan gjøre det enkelt å forfalske forespørsler mellom nettsteder. Problemet løses ved å fjerne tilpassede HTTP-hoder fra innledende forespørsler. Kreditert: Apple.

  • WebKit

    CVE-ID: CVE-2009-3384

    Available for: Windows 7, Vista, XP

    Virkning: Tilgang til en skadelig FTP-tjener kan føre til uventet avslutning av et program, deling av informasjon eller utføring av vilkårlig kode

    Beskrivelse: Det finnes flere sårbarheter i WebKits håndtering av FTP-katalogoversikter. Tilgang til en skadelig FTP-tjener kan føre til deling av informasjon, uventet avslutning av et program eller utføring av vilkårlig kode. Denne oppdateringen løser problemene gjennom forbedret analyse av FTP-katalogoversikter. Disse problemene påvirker ikke Safari på Mac OS X-systemer. Takk til Michal Zalewski fra Google Inc. for rapportering av disse problemene.

  • WebKit

    CVE-ID: CVE-2009-2841

    Available for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 and v10.6.2, Mac OS X Server v10.6.1 og v10.6.2

    Virkning: Mail kan laste eksternt lyd- og videoinnhold når ekstern bildelasting er deaktivert

    Beskrivelse: Når WebKit støter på et HTML 5-medieobjekt som peker til en ekstern ressurs, utstedes ingen callbackfunksjon for ressurslasting for å finne ut om ressursen skal lastes. Det kan føre til uønskede forespørsler til eksterne servere. For eksempel kan avsenderen av en HTML-formatert e-postmelding bruke dette for å finne ut om meldingen er lest. Dette problemet løses ved å generere callbackfunksjoner for ressurslasting når WebKit støter på HTML 5-medieobjekter. Problemet påvirker ikke Safari på Windows-systemer.

Viktig: Informasjon om produkter som ikke er produsert av Apple, oppgis kun for informasjonsformål og utgjør ikke noen godkjenning eller anbefaling fra Apple. Du kan kontakte leverandøren for å få mer informasjon.

Publiseringsdato: