Om sikkerhetsinnholdet i Safari 4.0.4

Dette dokumentet beskriver sikkerhetsinnholdet i Safari 4.0.4.

Av hensyn til kundenes sikkerhet er det Apples praksis å ikke videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apples produktsikkerhet på webstedet Apple produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen for Apples produktsikkerhet i Slik bruker du PGP-nøkkelen for Apples produktsikkerhet.

Der det er mulig brukes CVE-ID-er som referanse til sårbarheter for ytterligere informasjon.

Du finner mer informasjon om andre sikkerhetsoppdateringer i "Apple sikkerhetsoppdateringer".

Safari 4.0.4

  • ColorSync

    CVE-ID: CVE-2009-2804

    Tilgjengelig for: Windows 7, Vista, XP

    Virkning: Åpning av et skadelig bilde med innebygd fargeprofil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det finnes en heltallsoverflyt i håndteringen av bilder med innebygd fargeprofil, som kan føre til en heap-bufferoverflyt. Åpning av et skadelig bilde med innebygd fargeprofil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Problemet kan løses ved å foreta en ekstra kontroll av fargeprofiler. Problemet påvirker ikke Mac OS X v10.6-systemer. Problemet har allerede blitt tatt opp i Security Update 2009-005 for Mac OS X 10.5.8-systemer. Takk til: Apple.

  • libxml

    CVE-ID: CVE-2009-2414, CVE-2009-2416

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Windows 7, Vista, XP

    Virkning: Analyse av skadelig XML-innhold kan føre til at et program avsluttes uventet

    Beskrivelse: Flere bruk-etter-frigivelse-problemer finnes i libxml2, der det mest alvorlige kan føre til at et program avsluttes uventet. Denne oppdateringen løser problemene med forbedret hukommelsesbehandling. Problemene er allerede løst i Mac OS X 10.6.2 og i Security Update 2009-006 for Mac OS X 10.5.8-systemer.

  • Safari

    CVE-ID: CVE-2009-2842

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 og v10.6.2, Mac OS X Server v10.6.1 og v10.6.2, Windows 7, Vista, XP

    Virkning: Bruk av snarveimenyvalg på et skadelig websted kan føre til kompromittering av lokal informasjon

    Beskrivelse: Det er et problem i Safaris håndtering av navigering som innledes med snarveimenyvalgene "Åpne bilde i ny fane". "Åpne bilde i nytt vindu" og "Åpne kobling i ny fane". Bruk av disse valgene på et skadelig websted kan laste en lokal HTML-fil, slik at sensitiv informasjon kompromitteres. Problemet løses ved å deaktivere de oppførte snarveimenyvalgene når målet for en kobling er en lokal fil.

  • WebKit

    CVE-ID: CVE-2009-2816

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 og v10.6.2, Mac OS X Server v10.6.1 og v10.6.2, Windows 7, Vista, XP

    Virkning: Besøk på et skadelig websted kan føre til uventede handlinger på andre websteder

    Beskrivelse: Det er et problem i WebKits implementering av ressursdeling på tvers av opprinnelsessteder. Før en side fra ett sted får tilgang til en ressurs på et annet sted, sender WebKit en innledende forespørsel til sistnevnte tjener om tilgang til ressursen. WebKit inkluderer tilpassede HTTP-hoder som angis av siden som spør i den innledende forespørselen. Dette kan gjøre det enkelt å forfalske forespørsler mellom steder. Dette problemet løses ved å fjerne tilpassede HTTP-hoder fra innledende forespørsler. Takk til: Apple.

  • WebKit

    CVE-ID: CVE-2009-3384

    Tilgjengelig for: Windows 7, Vista, XP

    Virkning: Tilgang til en skadelig FTP-tjener kan føre til uventet avslutning av et program, avdekking av informasjon eller utføring av vilkårlig kode

    Beskrivelse: Det finnes flere sårbarheter i WebKits håndtering av FTP-katalogoversikter. Tilgang til en skadelig FTP-tjener kan føre til avdekking av informasjon, uventet avslutning av et program eller utføring av vilkårlig kode. Denne oppdateringen løser problemene gjennom forbedret analyse av FTP-katalogoversikter. Disse problemene påvirker ikke Safari på Mac OS X-systemer. Takk til Michal Zalewski fra Google Inc. for rapportering av disse problemene.

  • WebKit

    CVE-ID: CVE-2009-2841

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 og v10.6.2, Mac OS X Server v10.6.1 og v10.6.2

    Virkning: Mail kan laste eksternt lyd- og videoinnhold når ekstern bildelasting er deaktivert

    Beskrivelse: Når WebKit støter på et HTML 5-medieobjekt som peker til en ekstern ressurs, utstedes ingen callbackfunksjon for ressurslasting for å finne ut om ressursen skal lastes. Det kan føre til uønskede forespørsler til eksterne tjenere. For eksempel kan avsenderen av en HTML-formatert e-postmelding bruke dette for å finne ut om meldingen er lest. Dette problemet løses ved å generere callbackfunksjoner for ressurslasting når WebKit støter på HTML 5-medieobjekter. Problemet påvirker ikke Safari på Windows-systemer.

Publiseringsdato: