Om säkerhetsinnehållet i Safari 4.0.4
I det här dokumentet beskrivs säkerhetsinnehållet i Safari 4.0.4.
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen för Apples Product Security.
Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.
Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.
Mer information om andra säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple."
Safari 4.0.4
ColorSync
CVE-ID: CVE-2009-2804
Tillgängligt för: Windows 7, Vista, XP
Effekt: Visning av en bild med skadligt innehåll och med en inbäddad färgprofil kan leda till att program oväntat avslutas eller att opålitlig kod körs
Beskrivning: Ett heltalsspill förekommer i hanteringen av bilder med en inbäddad färgprofil, vilket kan leda till ett heapbuffertspill. Öppnande av en bild med skadligt innehåll och med en inbäddad färgprofil kan leda till att program oväntat avslutas eller att opålitlig kod körs. Problemet åtgärdas genom att utföra ytterligare validering av färgprofiler. Det här problemet påverkar inte Mac OS X v10.6-system. Problemet har redan åtgärdats i Säkerhetsuppdatering 2009-005 för Mac OS X 10.5.8-system. Av: Apple.
libxml
CVE-ID: CVE-2009-2414, CVE-2009-2416
Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Windows 7, Vista, XP
Effekt: Tolkning av skadligt xml-innehåll kan leda till att program oväntat avslutas
Beskrivning: Flera uaf-fel finns i libxml2, varav det allvarligaste kan leda till att program oväntat avslutas. Den här uppdateringen åtgärdar problemen genom förbättrad minneshantering. Problemet har redan åtgärdats i Mac OS X 10.6.2 och i Säkerhetsuppdatering 2009-006 för Mac OS X 10.5.8-system.
Safari
CVE-ID: CVE-2009-2842
Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 och 10.6.2, Mac OS X Server 10.6.1 och 10.6.2, Windows 7, Vista, XP
Effekt: Användning av kortkommandoalternativ på en skadlig webbplats kan leda till att lokal information avslöjas
Beskrivning: Det finns ett problem i Safaris hantering av navigeringar som startas via kortkommandona ”Open Image in New Tab", "Open Image in New Window” eller "Open Link in New Tab". När dessa alternativ används på en skadlig webbplats kan en lokal html-fil läsas in, vilket kan leda till att känslig information avslöjas. Problemet åtgärdas genom att inaktivera de angivna kortkommandona när en länk leder till en lokal film.
WebKit
CVE-ID: CVE-2009-2816
Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 och 10.6.2, Mac OS X Server 10.6.1 och 10.6.2, Windows 7, Vista, XP
Effekt: Visning a en skadlig webbplats kan resultera i oväntade åtgärder på andra webbplatser
Beskrivning: Ett problem finns i WebKits implementering av CORS (Cross-Origin Resource Sharing). Innan WebKit låter en sida från en plats komma åt en resurs på en annan plats skickar den en preliminär begäran till den andra servern för att komma åt resursen. WebKit inbegriper anpassade http-rubriker som specificeras av sidan som gör begäran i den preliminära begäran. Detta kan underlätta förfalskade förfrågningar över webbplatser. Det här problemet åtgärdas genom att ta bort anpassade http-rubriker från preliminära begäranden. Av: Apple.
WebKit
CVE-ID: CVE-2009-3384
Tillgängligt för: Windows 7, Vista, XP
Effekt: Tillgång till en skadlig FTP-server kan leda till att program oväntat avslutas, information avslöjas eller att opålitlig kod körs
Beskrivning: Flera sårbarheter finns i WebKits hantering av FTP-kataloglistor. Åtkomst till en skadlig FTP-server kan leda till att information avslöjas, program oväntat avslutas och att opålitlig kod körs. Den här uppdateringen åtgärdar problemen genom förbättrad tolkning av FTP-kataloglistor. Dessa problem påverkar inte Safari på Mac OS X-system. Tack till Michal Zalewski på Google Inc. som rapporterade problemen.
WebKit
CVE-ID: CVE-2009-2841
Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 och 10.6.2, Mac OS X Server 10.6.1 och 10.6.2
Effekt: Mail kan läsa in fjärrljud och videoinnehåll när inläsning av fjärrbilder inaktiveras
Beskrivning: När WebKit stöter på ett HTML 5 Media Element som pekar på en extern resurs utfärdar den inte en begäran att läsa in resursen för att avgöra om resursen borde läsas in. Det kan leda till oönskade begäranden till fjärrservrar. Till exempel kan avsändaren av ett html-formaterat e-postmeddelande använda detta för att avgöra om meddelandet har lästs. Det här problemet åtgärdas genom att skapa begäranden att läsa in resurser när WebKit stöter på ett HTML 5 Media Element. Det här problemet påverkar inte Safari på Windows-system.
Viktigt! Information om produkter som inte tillverkas av Apple ges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Kontakta säljaren för ytterligare information.