Om sikkerhetsinnholdet i Safari 4.0.3

Dette dokumentet beskriver sikkerhetsinnholdet i Safari 4.0.3.

Av hensyn til kundenes sikkerhet er det Apples praksis å ikke videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige programoppgraderinger eller -versjoner er tilgjengelige. Du finner mer informasjon om Apples produktsikkerhet på webstedet Apples produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen for Apples produktsikkerhet i Slik bruker du PGP-nøkkelen for Apples produktsikkerhet.

Der det er mulig brukes CVE-IDer som referanse til sårbarheter for ytterligere informasjon.

Du finner mer informasjon om andre sikkerhetsoppdateringer i Apple sikkerhetsoppdateringer.

Safari 4.0.3

  • CoreGraphics

    CVE-ID: CVE-2009-2468

    Tilgjengelig for: Windows XP og Vista

    Virkning: Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det oppstår en heap-bufferoverflyt i tegningen av lange tekststrenger. Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Denne oppdateringen løser problemet ved forbedret grensekontroll. Takk til Will Drewry fra Google Inc. for rapportering av dette problemet.

  • ImageIO

    CVE-ID: CVE-2009-2188

    Tilgjengelig for: Windows XP og Vista

    Virkning: Visning av et skadelig bilde kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det foreligger bufferoverflyt i håndteringen av EXIF-metadata. Visning av et skadelig bilde kan føre til uventet avslutning av program eller kjøring av vilkårlig kode. Denne oppdateringen løser problemet ved forbedret grensekontroll.

  • Safari

    CVE-ID: CVE-2009-2196

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP og Vista

    Virkning: Et skadelig websted kan bli forfremmet til Safaris Top Sites-oversikt

    Beskrivelse: Safari 4 introduserte Top Sites-funksjonen for å gi en rask oversikt over favorittwebstedene til en bruker. Det er mulig for et skadelig websted å plassere vilkårlige steder i Top Sites-oversikten gjennom automatiserte handlinger. Dette kan brukes for å legge til rette for et phishing-angrep. Dette problemet løses ved å hindre at automatiserte webstedsbesøk påvirker Top Sites-listen. Det er bare websteder som brukeren besøker manuelt, som inkluderes i Top Sites-listen. Forøvrig aktiverer Safari oppdaging av falske websteder som standard. Etter introduksjonen av Top Sites-funksjonen vises ingen falske websteder i Top Sites-oversikten. Takk til Inferno of SecureThoughts.com for rapportering av dette problemet.

  • WebKit

    CVE-ID: CVE-2009-2195

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP og Vista

    Virkning: Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det er bufferoverflyt i WebKits analyse av flytetallsnumre. Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Denne oppdateringen løser problemet ved forbedret grensekontroll. Takk til: Apple.

  • WebKit

    CVE-ID: CVE-2009-2200

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP og Vista

    Virkning: Besøk på et skadelig websted og klikk på "Start" ved visning av en dialogrute i en skadelig pluginmodul kan føre til avdekking av sensitiv informasjon

    Beskrivelse: WebKit tillater at pluginspage-attributtet i "embed"-elementet refererer til fil- URLer. Et klikk på "Start" i dialogruten som vises når en ukjent plugin-type refereres, vil omdirigere til URLen som er oppført i pluginspage-attributtet. Dette kan tillate at en ekstern angriper starter fil-URLer i Safari, og kan føre til avdekking av sensitiv informasjon. Denne oppdateringen løser problemet ved å begrense pluginspage-URL-skjemaet til http eller https. Takk til Alexios Fakos fra n.runs AG for rapportering av dette problemet.

  • WebKit

    CVE-ID: CVE-2009-2199

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP og Vista

    Virkning: Tegn som ser like ut i en URL-adresse, kan brukes til å maskere et nettsted

    Beskrivelse: IDN-støtten (International Domain Name) og Unicode-fontene som er innebygd i Safari, kan brukes til å opprette en URL-adresse som inneholder tegn som ser like ut. Disse kan brukes på et skadelig websted for å sende brukeren til et forfalsket websted som visuelt ser ut til å være et legitimt domene. Denne oppdateringen løser problemet ved å supplere WebKits liste over kjente tegn som ser like ut. Tegn som ser like ut, gjengis i Punycode på adresselinjen. Takk til Chris Weber fra Casaba Security, LLC for rapportering av dette problemet.

Publiseringsdato: