Den här artikeln har arkiverats och uppdateras inte längre av Apple.

Om säkerhetsinnehållet i Safari 3.2

I det här dokumentet beskrivs säkerhetsinnehållet i Safari 3.2.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apple Produktsäkerhet finns på webbplatsen för Apple Produktsäkerhet.

Information om PGP-nyckeln från Apple Product Security finns i ”Så här använder du en PGP-nyckel från Apple Product Security”.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns i ”Säkerhetsuppdateringar från Apple”.

Safari 3.2

  • Safari

    CVE-ID: CVE-2005-2096

    Tillgänglig för: Windows XP eller Vista

    Effekt: Flera sårbarheter i zlib 1.2.2

    Beskrivning: Flera sårbarheter finns i zlib 1.2.2, av vilka den allvarligaste kan leda till överbelastning av tjänster. Den här uppdateringen åtgärdar problemen genom att uppdatera till zlib 1.2.3. Dessa problem påverkar inte Mac OS X-system. Tack till Robbie Joosten från bioinformatics@school och David Gunnells från University of Alabama i Birmingham för att ha rapporterat dessa problem.

  • Safari

    CVE-ID: CVE-2008-1767

    Tillgänglig för: Windows XP eller Vista

    Effekt: Bearbetning av ett XML-dokument kan leda till en oväntad programavslutning eller exekvering av godtycklig kod

    Beskrivning: Ett problem med heapbuffertspill finns i libxslt-biblioteket. Visning av en skadlig HTML-sida kan leda till oväntad programavslutning eller körning av opålitlig kod. Ytterligare information om det applicerade plåstret finns tillgänglig via http://xmlsoft.org/XSLT/ Det här problemet påverkar inte Mac OS X-system som har tillämpat säkerhetsuppdatering 2008-007. Tack till Anthony de Almeida Lopes på Outpost24 AB och Chris Evans från Googles säkerhetsteam för att ha rapporterat det här problemet.

  • Safari

    CVE-ID: CVE-2008-3623

    Tillgängligt för: Windows XP eller senare

    Effekt: Besök på en uppsåtligt skapad webbplats kan leda till en oväntad applikationsavslutning eller exekvering av godtycklig kod

    Beskrivning: Ett heapbuffertspill finns i CoreGraphics hantering av färgrymder. Visning av en bild med skadligt innehåll kan leda till att program avslutas oväntat eller att opålitlig kod körs. Den här uppdateringen åtgärdar problemet genom förbättrad kontroll av gränserna. Av: Apple.

  • Safari

    CVE-ID: CVE-2008-2327

    Tillgänglig för: Windows XP eller Vista

    Effekt: Visning av en skadlig TIFF-bild kan det leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Flera problem med oinitierad minnesåtkomst finns i libTIFFs hantering av LZW-kodade TIFF-bilder. Visning av en TIFF-bild med skadligt innehåll kan leda till att program avslutas oväntat eller att opålitlig kod körs. Den här uppdateringen åtgärdar problemet genom korrekt minnesinitiering och ytterligare validering av TIFF-bilder. Det här problemet åtgärdas i system som kör Mac OS X v10.5.5 eller senare och i Mac OS X v10.4.11-system som har tillämpat säkerhetsuppdatering 2008-006. Av: Apple.

  • Safari

    CVE-ID: CVE-2008-2332

    Tillgängligt för: Windows XP eller Vista

    Effekt: Visning av en skadlig TIFF-bild kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Det finns ett problem med minnesfel vid ImageIO:s hantering av TIFF-bilder. Visning av en TIFF-bild med skadligt innehåll kan leda till att program avslutas oväntat eller att opålitlig kod körs. Den här uppdateringen åtgärdar problemet genom förbättrad bearbetning av TIFF-bilder. Det här problemet åtgärdas i system som kör Mac OS X v10.5.5 eller senare och i Mac OS X v10.4.11-system som har tillämpat säkerhetsuppdatering 2008-006. Tack till Robert Swiecki från Googles säkerhetsteam för att han rapporterade det här problemet.

  • Safari

    CVE-ID: CVE-2008-3608

    Tillgängligt för: Windows XP eller Vista

    Effekt: Visning av en stor, skadlig JPEG-bild kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Ett problem med minneskorruption finns i ImageIO:s hantering av inbäddade ICC-profiler i JPEG-bilder. Visning av en stor JPEG-bild med skadligt innehåll kan leda till att program avslutas oväntat eller att opålitlig kod körs. Den här uppdateringen åtgärdar problemet genom förbättrad bearbetning av ICC-profiler. Det här problemet åtgärdas i system som kör Mac OS X v10.5.5 eller senare och i Mac OS X v10.4.11-system som har tillämpat säkerhetsuppdatering 2008-006. Av: Apple.

  • Safari

    CVE-ID: CVE-2008-3642

    Tillgänglig för: Windows XP eller Vista

    Effekt: Visning av en skadligt skapad bild kan leda till oväntad programavslutning eller exekvering av godtycklig kod

    Beskrivning: Det finns ett buffertspill vid hanteringen av bilder med en inbäddad ICC-profil. Öppnande av en bild med skadligt innehåll och med en inbäddad ICC-profil kan leda till att program oväntat avslutas eller att opålitlig kod körs. Den här uppdateringen åtgärdar problemet genom att utföra ytterligare validering av ICC-profiler i bilder. Det här problemet påverkar inte Mac OS X-system som har tillämpat säkerhetsuppdatering 2008-007. Av: Apple.

  • Safari

    CVE-ID: CVE-2008-3644

    Tillgänglig för: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP eller Vista

    Effekt: Känslig information kan avslöjas för en lokal konsolanvändare

    Beskrivning: Inaktivering av autofyll i ett formulärfält kanske inte förhindrar data i fältet från att lagras i webbläsarens cache. Detta kan leda till att känslig information avslöjas till en lokal användare. Den här uppdateringen åtgärdar problemet genom att rensa formulärdata korrekt. Tack till en anonym forskare som rapporterade detta problem.

  • WebKit

    CVE-ID: CVE-2008-2303

    Tillgängligt för: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP eller Vista

    Effekt: Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Ett signeringsproblem i Safaris hantering av JavaScript-radindikatorer kan resultera i minnesåtkomst utanför gränserna. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller körning av opålitlig kod. Den här uppdateringen åtgärdar problemet genom att utföra ytterligare validering av JavaScript-radindikatorer. Tack till SkyLined på Google som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2008-2317

    Tillgängligt för: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP eller Vista

    Effekt: Besök på en webbplats med skadligt innehåll kan leda till att program oväntat avslutas eller körning av opålitlig kod

    Beskrivning: Det finns ett problem med minneskorruption i WebCores hantering av stilmallselement. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller körning av opålitlig kod. Den här uppdateringen åtgärdar problemet genom förbättrad insamling av skräp. Tack till en anonym forskare från TippingPoints Zero Day Initiative som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2008-4216

    Tillgängligt för: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP eller Vista

    Effekt: Besök på en webbplats med skadligt innehåll kan leda till avslöjandet av känslig information

    Beskrivning: WebKits gränssnitt för insticksprogram inte blockerar insticksprogram från att starta lokala URL:er. Besök på en webbplats som skapats med uppsåt kan tillåta en fjärrangripare att starta lokala filer i Safari, vilket kan leda till att känslig information avslöjas. Den här uppdateringen åtgärdar problemet genom att begränsa de typer av webbadresser som kan startas via insticksprogrammet för gränssnittet. Tack till Billy Rios från Microsoft och Nitesh Dhanjani på Ernst & Young för att de rapporterade det här problemet.

Viktigt! Omnämnandet av webbplatser och produkter från tredje part görs endast i informationssyfte och är inte att betrakta som rekommendationer eller stöd. Apple tar inget ansvar för valet eller nyttjandet av information eller produkter från tredje part och inte heller för produkternas prestanda. Apple tillhandahåller detta endast för att underlätta för våra användare. Apple har inte testat informationen på dessa webbplatser och garanterar inte att den är korrekt eller tillförlitlig. Det finns risker med användningen av all information och alla produkter som finns på internet, och Apple tar inget ansvar i detta avseende. Observera att en tredje parts webbplats är oberoende av Apple och att Apple inte har någon kontroll över innehållet på den webbplatsen. Kontakta säljaren för ytterligare information.

Publiceringsdatum: