Om säkerhetsinnehållet i Safari 3.2

I det här dokumentet beskrivs säkerhetsinnehållet i Safari 3.2.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apple Produktsäkerhet finns på webbplatsen för Apple Produktsäkerhet.

Information om PGP-nyckeln från Apple Product Security finns i ”Så här använder du en PGP-nyckel från Apple Product Security”.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns i ”Säkerhetsuppdateringar från Apple”.

Safari 3.2

• Safari

  CVE-ID: CVE-2005-2096

  Tillgänglig för: Windows XP eller Vista

  Effekt: Flera sårbarheter i zlib 1.2.2

  Beskrivning: Flera sårbarheter finns i zlib 1.2.2, av vilka den allvarligaste kan leda till överbelastning av tjänster. Den här uppdateringen åtgärdar problemen genom att uppdatera till zlib 1.2.3. Dessa problem påverkar inte Mac OS X-system. Tack till Robbie Joosten från bioinformatics@school och David Gunnells från University of Alabama i Birmingham för att ha rapporterat dessa problem.

• Safari

  CVE-ID: CVE-2008-1767

  Tillgänglig för: Windows XP eller Vista

  Effekt: Bearbetning av ett XML-dokument kan leda till en oväntad programavslutning eller exekvering av godtycklig kod

  Beskrivning: Ett problem med heapbuffertspill finns i libxslt-biblioteket. Visning av en skadlig HTML-sida kan leda till oväntad programavslutning eller körning av opålitlig kod. Ytterligare information om det applicerade plåstret finns tillgänglig via http://xmlsoft.org/XSLT/ Det här problemet påverkar inte Mac OS X-system som har tillämpat säkerhetsuppdatering 2008-007. Tack till Anthony de Almeida Lopes på Outpost24 AB och Chris Evans från Googles säkerhetsteam för att ha rapporterat det här problemet.

• Safari

  CVE-ID: CVE-2008-3623

  Tillgängligt för: Windows XP eller senare

  Effekt: Besök på en uppsåtligt skapad webbplats kan leda till en oväntad applikationsavslutning eller exekvering av godtycklig kod

  Beskrivning: Ett heapbuffertspill finns i CoreGraphics hantering av färgrymder. Visning av en bild med skadligt innehåll kan leda till att program avslutas oväntat eller att opålitlig kod körs. Den här uppdateringen åtgärdar problemet genom förbättrad kontroll av gränserna. Av: Apple.

• Safari

  CVE-ID: CVE-2008-2327

  Tillgänglig för: Windows XP eller Vista

  Effekt: Visning av en skadlig TIFF-bild kan det leda till att program oväntat avslutas eller att opålitlig kod körs

  Beskrivning: Flera problem med oinitierad minnesåtkomst finns i libTIFFs hantering av LZW-kodade TIFF-bilder. Visning av en TIFF-bild med skadligt innehåll kan leda till att program avslutas oväntat eller att opålitlig kod körs. Den här uppdateringen åtgärdar problemet genom korrekt minnesinitiering och ytterligare validering av TIFF-bilder. Det här problemet åtgärdas i system som kör Mac OS X v10.5.5 eller senare och i Mac OS X v10.4.11-system som har tillämpat säkerhetsuppdatering 2008-006. Av: Apple.

• Safari

  CVE-ID: CVE-2008-2332

  Tillgängligt för: Windows XP eller Vista

  Effekt: Visning av en skadlig TIFF-bild kan leda till att program oväntat avslutas eller att opålitlig kod körs

  Beskrivning: Det finns ett problem med minnesfel vid ImageIO:s hantering av TIFF-bilder. Visning av en TIFF-bild med skadligt innehåll kan leda till att program avslutas oväntat eller att opålitlig kod körs. Den här uppdateringen åtgärdar problemet genom förbättrad bearbetning av TIFF-bilder. Det här problemet åtgärdas i system som kör Mac OS X v10.5.5 eller senare och i Mac OS X v10.4.11-system som har tillämpat säkerhetsuppdatering 2008-006. Tack till Robert Swiecki från Googles säkerhetsteam för att han rapporterade det här problemet.

• Safari

  CVE-ID: CVE-2008-3608

  Tillgängligt för: Windows XP eller Vista

  Effekt: Visning av en stor, skadlig JPEG-bild kan leda till att program oväntat avslutas eller att opålitlig kod körs

  Beskrivning: Ett problem med minneskorruption finns i ImageIO:s hantering av inbäddade ICC-profiler i JPEG-bilder. Visning av en stor JPEG-bild med skadligt innehåll kan leda till att program avslutas oväntat eller att opålitlig kod körs. Den här uppdateringen åtgärdar problemet genom förbättrad bearbetning av ICC-profiler. Det här problemet åtgärdas i system som kör Mac OS X v10.5.5 eller senare och i Mac OS X v10.4.11-system som har tillämpat säkerhetsuppdatering 2008-006. Av: Apple.

• Safari

  CVE-ID: CVE-2008-3642

  Tillgänglig för: Windows XP eller Vista

  Effekt: Visning av en skadligt skapad bild kan leda till oväntad programavslutning eller exekvering av godtycklig kod

  Beskrivning: Det finns ett buffertspill vid hanteringen av bilder med en inbäddad ICC-profil. Öppnande av en bild med skadligt innehåll och med en inbäddad ICC-profil kan leda till att program oväntat avslutas eller att opålitlig kod körs. Den här uppdateringen åtgärdar problemet genom att utföra ytterligare validering av ICC-profiler i bilder. Det här problemet påverkar inte Mac OS X-system som har tillämpat säkerhetsuppdatering 2008-007. Av: Apple.

• Safari

  CVE-ID: CVE-2008-3644

  Tillgänglig för: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP eller Vista

  Effekt: Känslig information kan avslöjas för en lokal konsolanvändare

  Beskrivning: Inaktivering av autofyll i ett formulärfält kanske inte förhindrar data i fältet från att lagras i webbläsarens cache. Detta kan leda till att känslig information avslöjas till en lokal användare. Den här uppdateringen åtgärdar problemet genom att rensa formulärdata korrekt. Tack till en anonym forskare som rapporterade detta problem.

• WebKit

  CVE-ID: CVE-2008-2303

  Tillgängligt för: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP eller Vista

  Effekt: Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller att opålitlig kod körs

  Beskrivning: Ett signeringsproblem i Safaris hantering av JavaScript-radindikatorer kan resultera i minnesåtkomst utanför gränserna. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller körning av opålitlig kod. Den här uppdateringen åtgärdar problemet genom att utföra ytterligare validering av JavaScript-radindikatorer. Tack till SkyLined på Google som rapporterade problemet.

• WebKit

  CVE-ID: CVE-2008-2317

  Tillgängligt för: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP eller Vista

  Effekt: Besök på en webbplats med skadligt innehåll kan leda till att program oväntat avslutas eller körning av opålitlig kod

  Beskrivning: Det finns ett problem med minneskorruption i WebCores hantering av stilmallselement. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller körning av opålitlig kod. Den här uppdateringen åtgärdar problemet genom förbättrad insamling av skräp. Tack till en anonym forskare från TippingPoints Zero Day Initiative som rapporterade problemet.

• WebKit

  CVE-ID: CVE-2008-4216

  Tillgängligt för: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP eller Vista

  Effekt: Besök på en webbplats med skadligt innehåll kan leda till avslöjandet av känslig information

  Beskrivning: WebKits gränssnitt för insticksprogram inte blockerar insticksprogram från att starta lokala URL:er. Besök på en webbplats som skapats med uppsåt kan tillåta en fjärrangripare att starta lokala filer i Safari, vilket kan leda till att känslig information avslöjas. Den här uppdateringen åtgärdar problemet genom att begränsa de typer av webbadresser som kan startas via insticksprogrammet för gränssnittet. Tack till Billy Rios från Microsoft och Nitesh Dhanjani på Ernst & Young för att de rapporterade det här problemet.