Om sikkerhetsinnholdet i Safari 5.0 og Safari 4.1

Dette dokumentet beskriver sikkerhetsinnholdet i Safari 5.0 og Safari 4.1.

Av hensyn til kundenes sikkerhet er det Apples praksis å ikke videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple Produktsikkerhet på webstedet Apple Produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen for Apple Produktsikkerhet i Slik bruker du PGP-nøkkelen for Apple Produktsikkerhet.

Der det er mulig brukes CVE-IDer som referanse til sårbarheter for ytterligere informasjon.

Du finner mer informasjon om andre sikkerhetsoppdateringer i "Apples sikkerhetsoppdateringer."

Safari 5.0

  • ColorSync

    CVE-ID: CVE-2009-1726

    Tilgjengelig for: Windows 7, Vista, XP SP2 eller nyere

    Virkning: Åpning av et skadelig bilde med innebygd ColorSync-profil, kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det er en heap-bufferoverflyt i håndteringen av bilder med en innebygd ColorSync-profil. Åpning av et skadelig bilde med innebygd ColorSync-profil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Problemet løses ved forbedret godkjenning av ColorSync-profiler. Takk til Chris Evans fra Google Security Team og Andrzej Dyjak for rapportering av dette problemet.

  • ImageIO

    CVE-ID: CVE-2010-1411

    Tilgjengelig for: Windows 7, Vista, XP SP2 eller nyere

    Virkning: Åpning av en skadelig TIFF-fil kan føre til at programmet avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Flere heltallsoverflyter i håndteringen av TIFF-filer kan føre til heap-bufferoverflyt. Åpning av en skadelig TIFF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Problemene løses gjennom forbedret grensekontroll. Takk til Kevin Finisterre fra digitalmunition.com for rapportering av disse problemene.

  • Safari

    CVE-ID: CVE-2010-1384

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: En skadelig URL-adresse kan maskeres og gjøre phishing-angrep mer effektive

    Beskrivelse: Safari støtter inkludering av brukerinformasjon i URL-adresser, noe som gjør det mulig for en URL-adresse å angi et brukernavn og et passord for å godkjenne brukeren på den navngitte tjeneren. Disse URL-adressene brukes ofte til å forvirre brukere, noe som kan være til hjelp for phishing-angrep. Safari er oppdatert til å vise en advarsel før navigering til en HTTP- eller HTTPS-URL som inneholder brukerinformasjon. Takk til Abhishek Arya fra Google Inc. for rapportering av dette problemet.

  • Safari

    CVE-ID: CVE-2010-1385

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det finnes et bruk-etter-frigivelse-problem i Safaris håndtering av PDF-filer. Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Problemet løses ved forbedret håndtering av PDF-filer. Takk til Borja Marcos fra Sarenet for rapportering av dette problemet.

  • Safari

    CVE-ID: CVE-2010-1750

    Tilgjengelig for: Windows 7, Vista, XP SP2 eller nyere

    Virkning: Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det finnes et bruk-etter-frigivelse-problem i Safaris håndtering av vinduer. Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Problemet løses ved forbedret behandling av vinduer. Problemet påvirker ikke Mac OS X-systemer.

  • WebKit

    CVE-ID: CVE-2010-1388

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 eller nyere, Mac OS X Server v10.6.2 eller nyere

    Virkning: Å dra eller lime inn koblinger eller bilder kan føre til avdekking av informasjon

    Beskrivelse: Det finnes et implementeringsproblem i WebKits håndtering av URL-adresser på utklippstavlen. Besøk på et skadelig websted der det dras eller limes inn koblinger eller bilder, kan sende filer fra brukerens system til en ekstern tjener. Problemet løses ved forbedret godkjenning av URL-adresser på utklippstavlen. Problemet påvirker ikke Windows-systemer. Takk til Eric Seidel fra Google, Inc. for rapportering av dette problemet.

  • WebKit

    CVE-ID: CVE-2010-1389

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Å dra eller lime inn en markering kan føre til et angrep med skripting mellom websteder

    Beskrivelse: Å dra og lime inn en markering fra ett websted til et annet kan føre til at skript som markeringen inneholder, kan kjøres i konteksten til det nye webstedet. Problemet løses ved forbedret godkjenning av innhold før operasjoner med innliming eller dra-og-slipp. Takk til Paul Stone fra Context Information Security for rapportering av dette problemet.

  • WebKit

    CVE-ID: CVE-2010-1390

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Besøk på et websted ved bruk av UTF-7-koding kan føre til et angrep med skripting mellom websteder

    Beskrivelse: Det finnes et kanoniseringsproblem i WebKits håndtering av UTF-7-kodet tekst. En HTML-streng i anførselstegn kan beholdes uten å avsluttes, og føre til et angrep med skripting mellom websteder eller andre problemer. Problemet løses ved å fjerne støtte for UTF-7-koding i WebKit. En takk til Masahiro Yamada for rapportering av dette problemet.

  • WebKit

    CVE-ID: CVE-2010-1391

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Besøk på et skadelig websted kan føre til at filer opprettes på tilfeldige plasseringer som brukeren kan skrive til

    Beskrivelse: Et banetraverseringsproblem finnes i WebKits støtte for lokalt arkiverte databaser og Web SQL-databaser. Ved tilgang fra et programdefinert skjema som inneholder %2f (/) eller %5c (\) og .. i vertsdelen av URL-adressen, kan et skadelig websted føre til at databasefiler opprettes utenfor den tiltenkte mappen. Problemet løses ved å kode tegn som kan ha spesiell betydning i banenavn. Problemet påvirker ikke websteder som betjenes fra http:- eller https:-skjemaer. Takk til Apple.

  • WebKit

    CVE-ID: CVE-2010-1392

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det finnes et bruk-etter-frigivelse-problem i WebKits gjengivelse av HTML-knapper. Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Problemet løses ved forbedret hukommelsesbehandling. Takk til Matthieu Bonetti hos VUPEN Vulnerability Research Team, og wushi i team509 som arbeider med TippingPoints Zero Day Initiative for rapportering av dette problemet.

  • WebKit

    CVE-ID: CVE-2010-1393

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Besøk på et skadelig websted kan føre til avdekking av informasjon

    Beskrivelse: Det finnes et problem med avdekking av informasjon i WebKits håndtering av CSS (Cascading Style Sheets). Hvis HREF-attributtet i et stilark angis til en URL-adresse som fører til omdirigering, kan skript på siden få tilgang til den omdirigerte URL-adressen. Besøk på et skadelig websted kan føre til avsløring av sensitive URL-adresser på et annet websted. Problemet løses ved å returnere den opprinnelige URL-adressen til skript i stedet for den omdirigerte URL-adressen.

  • WebKit

    CVE-ID: CVE-2010-1119

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2. 7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det finnes et bruk-etter-frigivelse-problem i WebKits håndtering av attributtmanipulering. Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Problemet løses ved forbedret hukommelsesreferansesporing. Takk til Vincenzo Iozzo og Ralf Philipp Weinmann som arbeider med TippingPoints Zero Day Initiative, og Michal Zalewski fra Google, Inc., for rapportering av dette problemet.

  • WebKit

    CVE-ID: CVE-2010-1394

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Besøk på et skadelig websted kan føre til et angrep med skripting mellom websteder

    Beskrivelse: Det finnes et designproblem i WebKits håndtering av HTML-dokumentfragmenter. Innholdet i HTML-dokumentfragmenter behandles før et fragment faktisk legges til i et dokument. Besøk på et skadelig websted kan føre til et angrep med skripting mellom websteder hvis et legitimt websted prøver å manipulere et dokumentfragment som inneholder ikke godkjente data. Problemet løses ved å sikre at den første fragmentanalysen ikke har noen bieffekter på dokumentet som opprettet fragmentet. Takk til Eduardo Vela Nava (sirdarckcat) fra Google Inc. for rapportering av dette problemet.

  • WebKit

    CVE-ID: CVE-2010-1422

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Interaksjon med et skadelig websted kan føre til uventede handlinger på andre websteder

    Beskrivelse: Det finnes et implementeringsproblem i WebKits håndtering av tastaturfokus. Hvis tastaturfokuset endres under behandling av tastetrykk, kan WebKit levere en hendelse til den nye fokuserte rammen i stedet for rammen som hadde fokus når tastetrykket skjedde. Et skadelig websted kan være i stand til å manipulere brukeren til å foreta en uventet handling, for eksempel initiere et kjøp. Problemet løses ved å forhindre levering av tastetrykkhendelser hvis tastaturfokus endres under behandling. Takk til Michal Zalewski fra Google, Inc. for rapportering av dette problemet.

  • WebKit

    CVE-ID: CVE-2010-1395

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Besøk på et skadelig websted kan føre til et angrep med skripting mellom websteder

    Beskrivelse: Et problem med behandling av rekkevidde finnes i WebKits håndtering av DOM constructor-objekter. Besøk på et skadelig websted kan føre til et angrep med skripting mellom websteder. Problemet løses ved forbedret håndtering av DOM constructor-objekter. Takk til Gianni "gf3" Chiappetta fra Runlevel6 for rapportering av dette problemet.

  • WebKit

    CVE-ID: CVE-2010-1396

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det finnes et bruk-etter-frigivelse-problem i WebKits håndtering av fjerning av beholderobjekter. Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Problemet løses ved forbedret hukommelsesreferansesporing. Takk til wushi fra team509 som arbeider med TippingPoints Zero Day Initiative, for rapportering av dette problemet.

  • WebKit

    CVE-ID: CVE-2010-1397

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det finnes et bruk-etter-frigivelse-problem i WebKits gjengivelse av en markering når layouten endres. Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Problemet løses ved forbedret håndtering av markeringer. Takk til wushi&Z fra team509 som arbeider med TippingPoints Zero Day Initiative, for rapportering av dette problemet.

  • WebKit

    CVE-ID: CVE-2010-1398

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det er et problem med ødelagt hukommelse i WebKits håndtering av innsetting av ordnede lister. Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Problemet løses ved forbedret håndtering av innsetting av lister. Takk til wushi fra team509 som arbeider med TippingPoints Zero Day Initiative, for rapportering av dette problemet.

  • WebKit

    CVE-ID: CVE-2010-1399

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det er et problem med uinitialisert hukommelsestilgang i WebKits håndtering av markeringsendringer i skjemainndataobjekter. Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Problemet løses ved forbedret håndtering av markeringer. Takk til wushi fra team509 som arbeider med TippingPoints Zero Day Initiative, for rapportering av dette problemet.

  • WebKit

    CVE-ID: CVE-2010-1400

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det finnes et bruk-etter-frigivelse-problem i WebKits håndtering av bildetekstobjekter. Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Problemet løses ved forbedret håndtering av bildetekstobjekter. Takk til wushi i team509 som arbeider med iDefense, for rapportering av dette problemet.

  • WebKit

    CVE-ID: CVE-2010-1401

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det finnes et bruk-etter-frigivelse-problem i WebKits håndtering av pseudoobjektet :first-letter i CSS (Cascading Style Sheets). Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Dette problemet er løst gjennom forbedret håndtering av pseudoobjektet :first-letter. Takk til wushi fra team509 som arbeider med TippingPoints Zero Day Initiative, for rapportering av dette problemet.

  • WebKit

    CVE-ID: CVE-2010-1402

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det finnes et dobbelt-frigivelse-problem i WebKits håndtering av hendelseslyttere i SVG-dokumenter. Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Problemet løses ved forbedret håndtering av SVG-dokumenter. Takk til wushi fra team509 som arbeider med TippingPoints Zero Day Initiative, for rapportering av dette problemet.

  • WebKit

    CVE-ID: CVE-2010-1403

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det er et problem med uinitialisert hukommelsestilgang i WebKits håndtering av use-objekter i SVG-dokumenter. Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Problemet løses ved forbedret håndtering av use-objekter i SVG-dokumenter. Takk til wushi fra team509 som arbeider med TippingPoints Zero Day Initiative, for rapportering av dette problemet.

  • WebKit

    CVE-ID: CVE-2010-1404

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det finnes et bruk-etter-frigivelse-problem i WebKits håndtering av SVG-dokumenter med flere use-objekter. Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Problemet løses ved forbedret håndtering av use-objekter i SVG-dokumenter. Takk til wushi fra team509 som arbeider med TippingPoints Zero Day Initiative, for rapportering av dette problemet.

  • WebKit

    CVE-ID: CVE-2010-1410

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det er et problem med ødelagt hukommelse i WebKits håndtering av nestede use-objekter i SVG-dokumenter. Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Problemet løses ved forbedret håndtering av nestede use-objekter i SVG-dokumenter. Takk til Aki Helin fra OUSPG for rapportering av dette problemet.

  • WebKit

    CVE-ID: CVE-2010-1749

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det finnes et bruk-etter-frigivelse-problem i WebKits håndtering av CSS-innkjøringer. Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Problemet løses ved forbedret håndtering av CSS-innkjøringer. Takk til wushi fra team509 som arbeider med TippingPoints Zero Day Initiative, for rapportering av dette problemet.

  • WebKit

    CVE-ID: CVE-2010-1405

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det finnes et bruk-etter-frigivelse-problem i WebKits håndtering av HTLM-objekter med egendefinert loddrett plassering. Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Problemet løses ved forbedret hukommelsesreferansesporing. Takk til Ojan Vafai fra Google Inc. for rapportering av dette problemet.

  • WebKit

    CVE-ID: CVE-2010-1406

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Besøk på et HTTPS-websted som omdirigerer til et HTTP-websted, kan føre til avdekking av informasjon

    Beskrivelse: Når WebKit omdirigerer et HTTPS-websted til et HTTP-websted, overføres Referer-tittelen til HTTP-webstedet. Dette kan føre til avdekking av sensitiv informasjon som finnes i URL-adressen til HTTPS-webstedet. Problemet løses ved å ikke overføre Referer-tittelen når et HTTPS-websted omdirigerer til et HTTP-websted. Takk til Colin Percival fra Tarsnap for rapportering av dette problemet.

  • WebKit

    CVE-ID: CVE-2010-1408

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Besøk på et skadelig websted kan føre til sending av eksternt spesifiserte data til tilfeldige TCP-porter

    Beskrivelse: Det finnes et avkuttingsproblem for heltall i WebKits håndtering av forespørsler til TCP-porter som ikke er standardporter. Besøk på et skadelig websted kan føre til sending av eksternt spesifiserte data til tilfeldige TCP-porter. Problemet løses ved å sikre at denne porten er innen det godkjente området.

  • WebKit

    CVE-ID: CVE-2010-1409

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Besøk på et skadelig websted kan føre til at eksternt spesifiserte data sendes til en IRC-tjener

    Beskrivelse: Vanlige IRC-tjenesteporter er ikke inkludert i WebKits svarteliste over porter. Besøk på et skadelig websted kan føre til at eksternt spesifiserte data sendes til en IRC-tjener. Det kan føre til at tjeneren utfører ikke tiltenkte handlinger på brukerens vegne. Problemet løses ved å legge til de berørte portene i WebKits svarteliste over porter.

  • WebKit

    CVE-ID: CVE-2010-1412

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det finnes et bruk-etter-frigivelse-problem i WebKits håndtering av hendelser der markøren føres over objekter. Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Problemet løses ved forbedret håndtering av hendelser der markøren føres over objekter. Takk til Dave Bowker fra davebowker.com for rapportering av dette problemet.

  • WebKit

    CVE-ID: CVE-2010-1413

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: En brukers NTLM-akkreditiver kan bli utsatt for angrep fra personer underveis

    Beskrivelse: Under bestemte forhold kan WebKit sende NTLM-akkreditiver i vanlig tekst. Det kan føre til angrep fra en person underveis for å vise NTLM-akkreditivene. Problemet løses ved forbedret håndtering av NTLM-akkreditiver. Takk til Apple.

  • WebKit

    CVE-ID: CVE-2010-1414

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det finnes et bruk-etter-frigivelse-problem i WebKits håndtering av DOM-metoden removeChild. Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Problemet løses ved forbedret håndtering av fjerning av underordnede objekter. Takk til Mark Dowd fra Azimuth Security for rapportering av dette problemet.

  • WebKit

    CVE-ID: CVE-2010-1415

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det finnes et problem med misbruk av API i WebKits håndtering av libxml-kontekster. Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Problemet løses ved forbedret håndtering av libxml-kontekstobjekter. Takk til Aki Helin fra OUSPG for rapportering av dette problemet.

  • WebKit

    CVE-ID: CVE-2010-1416

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Besøk på et skadelig websted kan fremlegge bilder fra andre steder

    Beskrivelse: Det finnes et problem i WebKit med bildeoverføring mellom websteder. Ved å bruke et lerret med et SVG-bildemønster kan et skadelig websted laste og overføre et bilde fra et annet websted. Problemet løses ved å hindre lesing av lerreter som inneholder mønstre som er lastet ned fra andre websteder. Takk til Chris Evans fra Google Inc. for rapportering av dette problemet.

  • WebKit

    CVE-ID: CVE-2010-1417

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det er et problem med ødelagt hukommelse i WebKits gjengivelse av HTML-innhold i CSS-stil med flere :after-pseudovelgere. Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Problemet løses ved forbedret gjengivelse av HTML-innhold. Takk til wushi i team509 for rapportering av dette problemet.

  • WebKit

    CVE-ID: CVE-2010-1418

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Besøk på et skadelig websted kan føre til et angrep med skripting mellom websteder

    Beskrivelse: Det er et problem med inndatavalidering i WebKits håndtering av src-attributtet i frame-objektet. Et attributt med et javascript-skjema og innledende mellomrom betraktes som gyldig. Besøk på et skadelig websted kan føre til et angrep med skripting mellom websteder. Denne oppdateringen løser problemet ved å godkjenne frame.src riktig før URL-adressen derefereres. En takk til Sergey Glazunov for rapportering av dette problemet.

  • WebKit

    CVE-ID: CVE-2010-1419

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Et bruk-etter-frigivelse-problem finnes i WebKits håndtering av dra-og-slipp når et vindu som opptrer som kilde for en draoperasjon, lukkes før draoperasjonen er fullført. Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Problemet løses ved forbedret hukommelsesbehandling. Takk til kuzzcc, og Skylined fra Google Chrome Security Team for rapportering av dette problemet.

  • WebKit

    CVE-ID: CVE-2010-1421

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Besøk på et skadelig websted kan føre til endring av innholdet på utklippstavlen

    Beskrivelse: Det finnes et designproblem i implementeringen av JavaScript-funksjonen execCommand. Et skadelig websted kan endre innholdet på utklippstavlen uten brukermedvirkning. Problemet løses ved å tillate at utklippstavlekommandoer utføres bare hvis de settes i gang av brukeren. Takk til Apple.

  • WebKit

    CVE-ID: CVE-2010-0544

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Besøk på et skadelig websted kan føre til et angrep med skripting mellom websteder

    Beskrivelse: Et problem i WebKits håndtering av feil utformede URL-adresser kan føre til skripting mellom websteder ved besøk på et skadelig websted. Problemet løses ved forbedret håndtering av URL-adresser. Takk til Michal Zalewski fra Google, Inc. for rapportering av dette problemet.

  • WebKit

    CVE-ID: CVE-2010-1758

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det finnes et bruk-etter-frigivelse-problem i WebKits håndtering av DOM Range-objekter. Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Problemet løses ved forbedret håndtering av DOM Range-objekter. Takk til Yaar Schnitman fra Google Inc. for rapportering av dette problemet.

  • WebKit

    CVE-ID: CVE-2010-1759

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det finnes et bruk-etter-frigivelse-problem i WebKits håndtering av Node.normalize-metoden. Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Problemet løses ved forbedret håndtering av Node.normalize-metoden. Takk til Mark Dowd for rapportering av dette problemet.

  • WebKit

    CVE-ID: CVE-2010-1761

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det finnes et bruk-etter-frigivelse-problem i WebKits gjengivelse av HTML-dokumentundertrær. Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Problemet løses ved forbedret gjengivelse av HTML-dokumentundertrær. Takk til James Robinson fra Google Inc. for rapportering av dette problemet.

  • WebKit

    CVE-ID: CVE-2010-1762

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Besøk på et skadelig websted kan føre til et angrep med skripting mellom websteder

    Beskrivelse: Det foreligger et bruk-etter-frigivelse-problem i WebKits håndtering av HTML i textarea-objekter. Besøk på et skadelig websted kan føre til et angrep med skripting mellom websteder. Problemet løses ved forbedret godkjenning av textarea-objekter. Takk til Eduardo Vela Nava (sirdarckcat) fra Google Inc. for rapportering av dette problemet.

  • WebKit

    CVE-ID: CVE-2010-1764

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Besøk på et websted som omdirigerer skjemainnsendelser, kan føre til avdekking av informasjon

    Beskrivelse: Det finnes et designproblem i WebKits håndtering av HTTP-omdirigeringer. Når en skjemainnsendelse omdirigeres til et websted som også utfører en omdirigering, kan informasjonen i det sendte skjemaet bli sendt til et tredje websted. Problemet løses ved forbedret håndtering av HTTP-omdirigeringer. Takk til Marc Worrell fra WhatWebWhat for rapportering av dette problemet.

  • WebKit

    CVE-ID: CVE-2010-1770

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det finnes et typekontrollproblem i WebKits håndtering av tekstnoder. Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Problemet løses ved forbedret typekontroll. Takk til wushi fra team509 som arbeider med TippingPoints Zero Day Initiative, for rapportering av dette problemet.

  • WebKit

    CVE-ID: CVE-2010-1771

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det finnes et bruk-etter-frigivelse-problem i WebKits håndtering av skrifter. Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Problemet løses ved forbedret håndtering av skrifter. Takk til Apple.

  • WebKit

    CVE-ID: CVE-2010-1774

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det finnes et problem med tilgang utenfor hukommelsesområdet i WebKits håndtering av HTML-tabeller. Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Problemet løses ved forbedret grensekontroll. Takk til wushi i team509 for rapportering av dette problemet.

  • WebKit

    Tilgjengelig for: Mac OS X v4.11.10, Mac OS X Server v4.11.10, Mac OS X v5.8.10, Mac OS X Server v5.8.10, Mac OS X v6.2.10 eller nyere, Mac OS X Server v6.2.7 eller nyere, Windows 2, Vista, XP SP2 eller nyere

    Virkning: Et skadelig websted kan finne ut hvilke websteder en bruker har besøkt

    Beskrivelse: Det finnes et designproblem i WebKits håndtering av CSS-pseudoklassen :visited. Et skadelig websted kan finne ut hvilke websteder en bruker har besøkt. Denne oppdateringen begrenser websiders mulighet til å bruke stiler på sider basert på om koblinger har blitt besøkt.

Merk: Safari 5.0 og Safari 4.1 løser samme sett sikkerhetsproblemer. Safari 5.0 leveres for Mac OS X v10.5-, Mac OS X v10.6- og Microsoft Windows-systemer. Safari 4.1 leveres for Mac OS X v10.4-systemer.

Publiseringsdato: