Om säkerhetsinnehållet i Safari 4.0.4

I det här dokumentet beskrivs säkerhetsinnehållet i Safari 4.0.4.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen för Apples Product Security.

Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple."

Safari 4.0.4

  • ColorSync

    CVE-ID: CVE-2009-2804

    Tillgängligt för: Windows 7, Vista, XP

    Effekt: Visning av en bild med skadligt innehåll och med en inbäddad färgprofil kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Ett heltalsspill förekommer i hanteringen av bilder med en inbäddad färgprofil, vilket kan leda till ett heapbuffertspill. Öppnande av en bild med skadligt innehåll och med en inbäddad färgprofil kan leda till att program oväntat avslutas eller att opålitlig kod körs. Problemet åtgärdas genom att utföra ytterligare validering av färgprofiler. Det här problemet påverkar inte Mac OS X v10.6-system. Problemet har redan åtgärdats i Säkerhetsuppdatering 2009-005 för Mac OS X 10.5.8-system. Av: Apple.

  • libxml

    CVE-ID: CVE-2009-2414, CVE-2009-2416

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Windows 7, Vista, XP

    Effekt: Tolkning av skadligt xml-innehåll kan leda till att program oväntat avslutas

    Beskrivning: Flera uaf-fel finns i libxml2, varav det allvarligaste kan leda till att program oväntat avslutas. Den här uppdateringen åtgärdar problemen genom förbättrad minneshantering. Problemet har redan åtgärdats i Mac OS X 10.6.2 och i Säkerhetsuppdatering 2009-006 för Mac OS X 10.5.8-system.

  • Safari

    CVE-ID: CVE-2009-2842

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 och 10.6.2, Mac OS X Server 10.6.1 och 10.6.2, Windows 7, Vista, XP

    Effekt: Användning av kortkommandoalternativ på en skadlig webbplats kan leda till att lokal information avslöjas

    Beskrivning: Det finns ett problem i Safaris hantering av navigeringar som startas via kortkommandona ”Open Image in New Tab", "Open Image in New Window” eller "Open Link in New Tab". När dessa alternativ används på en skadlig webbplats kan en lokal html-fil läsas in, vilket kan leda till att känslig information avslöjas. Problemet åtgärdas genom att inaktivera de angivna kortkommandona när en länk leder till en lokal film.

  • WebKit

    CVE-ID: CVE-2009-2816

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 och 10.6.2, Mac OS X Server 10.6.1 och 10.6.2, Windows 7, Vista, XP

    Effekt: Visning a en skadlig webbplats kan resultera i oväntade åtgärder på andra webbplatser

    Beskrivning: Ett problem finns i WebKits implementering av CORS (Cross-Origin Resource Sharing). Innan WebKit låter en sida från en plats komma åt en resurs på en annan plats skickar den en preliminär begäran till den andra servern för att komma åt resursen. WebKit inbegriper anpassade http-rubriker som specificeras av sidan som gör begäran i den preliminära begäran. Detta kan underlätta förfalskade förfrågningar över webbplatser. Det här problemet åtgärdas genom att ta bort anpassade http-rubriker från preliminära begäranden. Av: Apple.

  • WebKit

    CVE-ID: CVE-2009-3384

    Tillgängligt för: Windows 7, Vista, XP

    Effekt: Tillgång till en skadlig FTP-server kan leda till att program oväntat avslutas, information avslöjas eller att opålitlig kod körs

    Beskrivning: Flera sårbarheter finns i WebKits hantering av FTP-kataloglistor. Åtkomst till en skadlig FTP-server kan leda till att information avslöjas, program oväntat avslutas och att opålitlig kod körs. Den här uppdateringen åtgärdar problemen genom förbättrad tolkning av FTP-kataloglistor. Dessa problem påverkar inte Safari på Mac OS X-system. Tack till Michal Zalewski på Google Inc. som rapporterade problemen.

  • WebKit

    CVE-ID: CVE-2009-2841

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 och 10.6.2, Mac OS X Server 10.6.1 och 10.6.2

    Effekt: Mail kan läsa in fjärrljud och videoinnehåll när inläsning av fjärrbilder inaktiveras

    Beskrivning: När WebKit stöter på ett HTML 5 Media Element som pekar på en extern resurs utfärdar den inte en begäran att läsa in resursen för att avgöra om resursen borde läsas in. Det kan leda till oönskade begäranden till fjärrservrar. Till exempel kan avsändaren av ett html-formaterat e-postmeddelande använda detta för att avgöra om meddelandet har lästs. Det här problemet åtgärdas genom att skapa begäranden att läsa in resurser när WebKit stöter på ett HTML 5 Media Element. Det här problemet påverkar inte Safari på Windows-system.

Viktigt! Information om produkter som inte tillverkas av Apple ges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Kontakta säljaren för ytterligare information.

Publiceringsdatum: