Om säkerhetsinnehållet i Safari 3.1.1

Det här dokumentet beskriver säkerhetsinnehållet i Safari 3.1.1, som kan hämtas och installeras via Software Update eller från hämtningar.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen för Apples produktsäkerhet.

Information om PGP-nyckeln från Apple Product Security finns iSå här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns iApple säkerhetsuppdateringar.

Safari 3.1.1

Safari

CVE-ID: CVE-2007-2398

Tillgängligt för: Windows XP eller Vista

Effekt: En webbplats med skadligt innehåll kan styra innehållet i adressfältet.

Beskrivning: Ett tidsproblem i Safari 3.1 gör att en webbsida kan ändra innehållet i adressfältet utan att läsa in innehållet på motsvarande sida. Detta kan användas för att förfalska innehållet på en legitim webbplats, vilket gör det möjligt att samla in användaruppgifter eller annan information. Problemet åtgärdades i Safari Beta 3.0.2, men återintroducerades i Safari 3.1. Den här uppdateringen åtgärdar problemet genom att återskapa innehållet i adressfältet om en begäran om en ny webbsida avslutas. Detta problem påverkar inte system med Mac OS X.

Safari

CVE-ID: CVE-2008-1024

Tillgängligt för: Windows XP eller Vista

Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller opålitlig kod köras.

Beskrivning: Det finns ett minnesfel i Safari-filhämtningen. Genom att locka en användare att hämta en fil med ett skadligt namn kan en angripare orsaka en oväntad programavslutning eller körning av opålitlig kod. Den här uppdateringen åtgärdar problemet genom förbättrad hantering av filhämtningar. Detta problem påverkar inte system med Mac OS X.

WebKit

CVE-ID: CVE-2008-1025

Tillgänglig för: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2, Windows XP och Vista

Effekt: Besök på en skadlig webbplats kan leda till skriptkörning över flera webbplatser.

Beskrivning: Ett problem finns i WebKit hantering av webbadresser som innehåller ett kolumntecken i värdnamnet. Om du öppnar en skadlig webbadress kan det leda till en skriptattack över flera webbplatser. Den här uppdateringen åtgärdar problemet genom förbättrad hantering av webbadresser. Tack till Robert Swiecki på Google information Security Team och David Bloom för att problemet rapporterades.

WebKit

CVE-ID: CVE-2008-1026

Tillgänglig för: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2, Windows XP och Vista

Effekt: Visning av en webbsida med skadligt innehåll kan leda till oväntad programavslutning eller körning av opålitlig kod.

Beskrivning: Ett heap-buffertspill finns i WebKit:s hantering av JavaScript-regelbundna uttryck. Problemet kan utlösas via JavaScript när regelbundna uttryck bearbetas med stora, nästlade repetitionsvärden. Detta kan leda till oväntad programavslutning eller körning av opålitlig kod. Den här uppdateringen åtgärdar problemet genom att utföra ytterligare validering av regelbundna JavaScript-uttryck. Tack till Charlie Miller, Jake Honoroff och Mark Daniel i samarbete med TippingPoints Zero Day Initiative för att problemet rapporterades.