Safari 4.0.3
-
CoreGraphics
CVE-ID: CVE-2009-2468
Tilgjengelig for: Windows XP og Vista
Virkning: Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres
Beskrivelse: Det oppstår en heap-bufferoverflyt i tegningen av lange tekststrenger. Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Denne oppdateringen løser problemet ved forbedret grensekontroll. Takk til Will Drewry fra Google Inc. for rapportering av dette problemet.
-
ImageIO
CVE-ID: CVE-2009-2188
Tilgjengelig for: Windows XP og Vista
Virkning: Visning av et skadelig bilde kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres
Beskrivelse: Det foreligger bufferoverflyt i håndteringen av EXIF-metadata. Visning av et skadelig bilde kan føre til uventet avslutning av program eller kjøring av vilkårlig kode. Denne oppdateringen løser problemet ved forbedret grensekontroll.
-
Safari
CVE-ID: CVE-2009-2196
Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP og Vista
Virkning: Et skadelig websted kan bli forfremmet til Safaris Top Sites-oversikt
Beskrivelse: Safari 4 introduserte Top Sites-funksjonen for å gi en rask oversikt over favorittwebstedene til en bruker. Det er mulig for et skadelig websted å plassere vilkårlige steder i Top Sites-oversikten gjennom automatiserte handlinger. Dette kan brukes for å legge til rette for et phishing-angrep. Dette problemet løses ved å hindre at automatiserte webstedsbesøk påvirker Top Sites-listen. Det er bare websteder som brukeren besøker manuelt, som inkluderes i Top Sites-listen. Forøvrig aktiverer Safari oppdaging av falske websteder som standard. Etter introduksjonen av Top Sites-funksjonen vises ingen falske websteder i Top Sites-oversikten. Takk til Inferno of SecureThoughts.com for rapportering av dette problemet.
-
WebKit
CVE-ID: CVE-2009-2195
Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP og Vista
Virkning: Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres
Beskrivelse: Det er bufferoverflyt i WebKits analyse av flytetallsnumre. Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Denne oppdateringen løser problemet ved forbedret grensekontroll. Takk til: Apple.
-
WebKit
CVE-ID: CVE-2009-2200
Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP og Vista
Virkning: Besøk på et skadelig websted og klikk på "Start" ved visning av en dialogrute i en skadelig pluginmodul kan føre til avdekking av sensitiv informasjon
Beskrivelse: WebKit tillater at pluginspage-attributtet i "embed"-elementet refererer til fil- URLer. Et klikk på "Start" i dialogruten som vises når en ukjent plugin-type refereres, vil omdirigere til URLen som er oppført i pluginspage-attributtet. Dette kan tillate at en ekstern angriper starter fil-URLer i Safari, og kan føre til avdekking av sensitiv informasjon. Denne oppdateringen løser problemet ved å begrense pluginspage-URL-skjemaet til http eller https. Takk til Alexios Fakos fra n.runs AG for rapportering av dette problemet.
-
WebKit
CVE-ID: CVE-2009-2199
Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP og Vista
Virkning: Tegn som ser like ut i en URL-adresse, kan brukes til å maskere et nettsted
Beskrivelse: IDN-støtten (International Domain Name) og Unicode-fontene som er innebygd i Safari, kan brukes til å opprette en URL-adresse som inneholder tegn som ser like ut. Disse kan brukes på et skadelig websted for å sende brukeren til et forfalsket websted som visuelt ser ut til å være et legitimt domene. Denne oppdateringen løser problemet ved å supplere WebKits liste over kjente tegn som ser like ut. Tegn som ser like ut, gjengis i Punycode på adresselinjen. Takk til Chris Weber fra Casaba Security, LLC for rapportering av dette problemet.