Om säkerhetsinnehållet i Safari 5.0 och Safari 4.1

I det här dokumentet beskrivs säkerhetsinnehållet i Safari 5.0 och Safari 4.1.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen för Apples Product Security.

Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-lösenkod från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple."

Safari 5.0

  • ColorSync

    CVE-ID: CVE-2009-1726

    Tillgängligt för: Windows 7, Vista, XP SP2 eller senare

    Effekt: Visning av en skadlig bild med en inbäddad ColorSync-profil kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Ett heap-buffertspill förekommer i hanteringen av bilder med en inbäddad ColorSync-profil. Visning av en bild med skadligt innehåll och med en inbäddad ColorSync-profil kan leda till att program oväntat avslutas eller körning av opålitlig kod. Det här problemet åtgärdas med förbättrad validering av ColorSync-profiler. Tack till Chris Evans på Google Security Team och Andrzej Dyjak som rapporterade problemet.

  • ImageIO

    CVE-ID: CVE-2010-1411

    Tillgängligt för: Windows 7, Vista, XP SP2 eller senare

    Effekt: Öppning av en TIFF-fil med skadligt innehåll kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Flera heltalsspill i hanteringen av TIFF-filer kan resultera i ett heap-buffertspill. Öppning av en TIFF-fil med skadligt innehåll kan leda till att program oväntat avslutas eller att opålitlig kod körs. De här problemen åtgärdas genom förbättrad gränskontroll. Tack till Kevin Finisterre på digitalmunition.com som rapporterade problemen.

  • Safari

    CVE-ID: CVE-2010-1384

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: En skadligt skapad URL kan fördunklas, vilket gör nätfiskeattacker mer effektiva

    Beskrivning: Safari stöder inkludering av användarinformation i URL:er, vilket gör att URL:en kan ange ett användarnamn och lösenord för att autentisera användaren till den namngivna servern. Dessa webbadresser används ofta för att förvirra användare, vilket skulle kunna underlätta för nätfiskeattacker. Safari har uppdaterats och visar en varning innan användaren navigerar till en HTTP- eller HTTPS-webbadress med användarinformation. Tack till Abhishek Arya på Google, Inc. som rapporterade problemet.

  • Safari

    CVE-ID: CVE-2010-1385

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadlig webbplats kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Det finns ett UAF-fel i Safaris hantering av PDF-filer. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller körning av opålitlig kod. Det här problemet åtgärdas med förbättrad hantering av PDF-filer. Tack till Borja Marcos på Sarenet som rapporterade problemet.

  • Safari

    CVE-ID: CVE-2010-1750

    Tillgängligt för: Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadlig webbplats kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Ett uaf-fel finns i Safaris hantering av fönster. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller körning av opålitlig kod. Problemet åtgärdas genom förbättrad fönsterhantering. Detta problem påverkar inte system med Mac OS X.

  • WebKit

    CVE-ID: CVE-2010-1388

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare,

    Effekt: Om du drar eller klistrar in länkar eller bilder kan det leda till att information avslöjas

    Beskrivning: Det finns ett implementeringsproblem i WebKits hantering av URL:er i urklipp. Besök på en uppsåtligt skapad webbplats och dra eller klistra in länkar eller bilder kan skicka filer från användarens system till en fjärrserver. Det här problemet åtgärdas genom ytterligare validering av URL:er i urklipp. Det här problemet påverkar inte Windows-system. Tack till Eric Seidel på Google, Inc. som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-1389

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Att dra eller klistra in ett urval kan leda till en attack via skriptkörning över flera webbplatser

    Beskrivning: Att dra eller klistra in ett urval från en plats till en annan kan tillåta att skript som ingår i urvalet körs i sammanhanget för den nya webbplatsen. Det här problemet åtgärdas genom ytterligare validering av innehåll innan en klistra in- eller en dra och släpp-åtgärd. Tack till Paul Stone på Context Information Security som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-1390

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en webbplats med UTF-7-kodning kan leda till en attack via skriptkörning över flera webbplatser

    Beskrivning: Ett kanoniseringsproblem finns i WebKits hantering av UTF-7-kodad text. En HTML-kodad textsträng kan lämnas oavslutad, vilket kan leda till en attack med skriptkörning över flera webbplatser eller andra problem. Problemet åtgärdades genom att ta bort stödet för UTF-7-kodning i WebKit. Tack till Masahiro Yamada som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-1391

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadlig webbplats kan orsaka att filer skapas på skadliga platser som kan skrivas av användaren

    Beskrivning: Ett sökvägsproblem finns i WebKits stöd för lokal lagring och Web SQL-databaser. Vid åtkomst via ett programdefinierat schema som innehåller ”%2f” (/) eller ”%5c” (\) och ”..” i webbadressens värddel kan en skadligt utformad webbplats göra att databasfiler skapas utanför den avsedda katalogen. Problemet åtgärdades genom att koda tecken som kan ha särskilda betydelser i filsökvägar. Problemet påverkar inte webbplatser som använder schemana http: eller https:. Av: Apple.

  • WebKit

    CVE-ID: CVE-2010-1392

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadlig webbplats kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Ett UAF-fel finns i WebKits rendering av HTML-knappar. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller opålitlig kod körs. Problemet åtgärdas genom förbättrad minneshantering. Tack till Matthieu Bonetti från VUPEN Vulnerability Research Team, och wushi från team509, från TippingPoints Zero Day Initiative, som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-1393

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadlig webbplats kan leda till ett avslöjande av information

    Beskrivning: Det finns ett problem med avslöjande av information i WebKits hantering av Cascading Stylesheets. Om en stilmalls HREF-attribut är inställt på en webbadress som utlöser omdirigering kan skript på sidan få åtkomst till den omdirigerade webbadressen. Besök på en skadligt utformad webbplats kan leda till att känsliga webbadresser avslöjas på andra webbplatser. Problemet åtgärdades genom att returnera den ursprungliga webbadressen till skript istället för den omdirigerade webbadressen.

  • WebKit

    CVE-ID: CVE-2010-1119

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 eller senare, Mac OS X Server 10.6.1 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadlig webbplats kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Det finns ett UAF-fel i WebKits hantering av attributmanipulation. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller körning av opålitlig kod. Problemet åtgärdas genom förbättrad spårning av minnesreferens. Tack till Vincenzo Iozzo och Ralf Philipp Weinmann, från TippingPoints Zero Day Initiative, och Michal Zalewski på Google, Inc., som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-1394

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en uppsåtligt skapad webbplats kan leda till en attack via skriptkörning över flera webbplatser

    Beskrivning: Det finns ett designproblem i WebKits hantering av HTML-dokumentfragment. Innehållet i HTML-dokumentfragment bearbetas innan fragmentet faktiskt läggs till i ett dokument. Besök på en skadligt utformad webbplats kan leda till en attack med skriptkörning över flera webbplatser om en legitim webbplats försöker manipulera ett dokumentfragment som innehåller opålitliga data. Detta åtgärdas genom att säkerställa att den inledande fragmenttolkningen inte har några effekter på dokumentet som skapade fragmentet. Tack till Eduardo Vela Nava (sirdarckcat) på Google Inc. som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-1422

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Att interagera med en skadligt skapad webbplats kan resultera i oväntade åtgärder på andra webbplatser

    Beskrivning: Det finns ett implementeringsproblem i WebKits hantering av tangentbordsfokus. Om tangentbordets fokus ändras under bearbetningen av tangenttryckningar kan WebKit leverera en händelse till den nyligen fokuserade ramen, istället för ramen som hade fokus när tangenttryckningen gjordes. En uppsåtligt skapad webbplats kan kanske manipulera en användare att vidta en oväntad åtgärd, som att initiera ett köp. Det här problemet åtgärdas genom att förhindra leverans av tangenttryckningshändelser om tangentbordets fokus ändras under bearbetningen. Tack till Michal Zalewski på Google, Inc. som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-1395

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadlig webbplats kan leda till en attack via skriptkörning över flera webbplatser

    Beskrivning: Det finns ett omfattningshanteringsproblem i WebKits hantering av DOM-konstruktorobjekt. Besök på en webbplats med skadligt innehåll kan leda till en attack med skriptkörning över flera webbplatser. Det här problemet åtgärdas med förbättrad hantering av DOM-konstruktorobjekt. Tack till Gianni ”gf3” Chiappetta på Runlevel6 som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-1396

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadlig webbplats kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Det finns ett UAF-fel i WebKits hantering av avlägsnande av behållarelement. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller körning av opålitlig kod. Problemet åtgärdas genom förbättrad spårning av minnesreferens. Tack till wushi of team509, från TippingPoints Zero Day Initiative, som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-1397

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadlig webbplats kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Ett UAF-fel finns i WebKits rendering av ett urval när layouten ändras. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller körning av opålitlig kod. Problemet åtgärdades genom förbättrad hantering av val. Tack till wushi och Z från team509, från TippingPoints Zero Day Initiative, som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-1398

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadlig webbplats kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Det finns ett minnesfel i WebKits hantering av ordnade listinfogningar. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller körning av opålitlig kod. Problemet åtgärdades genom förbättrad hantering av listinfogningar. Tack till wushi of team509, från TippingPoints Zero Day Initiative, som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-1399

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadlig webbplats kan leda till att program oväntat avslutas eller att opålitlig kod körs.

    Beskrivning: Ett problem med oinitierad minnesåtkomst finns i WebKits hantering av urvalsändringar på formulärinmatningselement. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller körning av opålitlig kod. Problemet åtgärdades genom förbättrad hantering av val. Tack till wushi of team509, från TippingPoints Zero Day Initiative, som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-1400

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadlig webbplats kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Det finns ett UAF-fel i WebKits hantering av bildtextelement. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller körning av opålitlig kod. Problemet åtgärdades genom förbättrad hantering av bildtextelement. Tack till wushi på team509, som arbetar med iDefense, som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-1401

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadlig webbplats kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Det finns ett UAF-fel i WebKits hantering av ”:first-letter” pseudoelement i cascading stylesheets. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller körning av opålitlig kod. Det här problemet åtgärdas genom förbättrad hantering av pseudoelement av typen ”:first-letter”. Tack till wushi of team509, från TippingPoints Zero Day Initiative, som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-1402

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadlig webbplats kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Ett dubbelt gratisproblem finns i WebKits hantering av händelseavlyssnare i SVG-dokument. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller körning av opålitlig kod. Det här problemet åtgärdas med förbättrad hantering av SVG-dokument. Tack till wushi of team509, från TippingPoints Zero Day Initiative, som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-1403

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadlig webbplats kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Ett problem med oinitierad minnesåtkomst finns i WebKits hantering av ”use”-element i SVG-dokument. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller opålitlig kod körs. Det här problemet åtgärdas genom förbättrad hantering av ”use”-element i SVG-dokument. Tack till wushi of team509, från TippingPoints Zero Day Initiative, som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-1404

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadlig webbplats kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Det finns ett UAF-fel i WebKits hantering av SVG-dokument med flera ”use”-element. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller opålitlig kod körs. Det här problemet åtgärdas genom förbättrad hantering av ”use”-element i SVG-dokument. Tack till wushi of team509, från TippingPoints Zero Day Initiative, som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-1410

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadlig webbplats kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Det finns ett minnesfel i WebKits hantering av kapslade ”use”-element i SVG-dokument. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller körning av opålitlig kod. Det här problemet åtgärdas genom förbättrad hantering av kapslade ”use”-element i SVG-dokument. Tack till Aki Helin på OUSPG som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-1749

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadlig webbplats kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Det finns ett UAF-fel i WebKits hantering av CSS-inkörningar. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller körning av opålitlig kod. Det här problemet åtgärdas genom förbättrad hantering av CSS-inkörningar. Tack till wushi of team509, från TippingPoints Zero Day Initiative, som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-1405

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadlig webbplats kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Det finns ett UAF-fel i WebKits hantering av HTML-element med anpassad vertikal positionering. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller körning av opålitlig kod. Problemet åtgärdas genom förbättrad spårning av minnesreferens. Tack till Ojan Vafai på Google Inc. som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-1406

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en HTTPS-webbplats som omdirigerar till en HTTP-webbplats kan leda till avslöjande av information

    Beskrivning: När WebKit omdirigeras från en HTTPS-webbplats till en HTTP-webbplats skickas referenshuvudet till HTTP-webbplatsen. Detta kan leda till att känslig information i HTTPS-webbplatsens webbadress avslöjas. Problemet åtgärdades genom att inte skicka hänvisningsblocket när en HTTPS-webbplats omdirigerar till en HTTP-webbplats. Tack till Colin Percival på Tarsnap som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-1408

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadlig webbplats kan resultera i att fjärrangivna data skickas till skadliga TCP-portar

    Beskrivning: Ett trunkeringsproblem med heltal finns i WebKits hantering av förfrågningar till icke-standardiserade TCP-portar. Besök på en skadligt utformad webbplats kan leda till att fjärrspecificerade data skickas till godtyckliga TCP-portar. Problemet åtgärdades genom att säkerställa att portnumren faller inom det giltiga intervallet.

  • WebKit

    CVE-ID: CVE-2010-1409

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadlig webbplats kan tillåta att fjärrspecifik data skickas till en IRC-server

    Beskrivning: Vanliga IRC-tjänstportar ingår inte i WebKits svartlista för portar. Besök på en skadligt utformad webbplats kan leda till att fjärrspecificerade data skickas till en IRC-server. Detta kan leda till att servern vidtar oavsedda åtgärder för användarens räkning. Problemet åtgärdades genom att lägga till de påverkade portarna i WebKits svartlista.

  • WebKit

    CVE-ID: CVE-2010-1412

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadlig webbplats kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Det finns ett UAF-fel i WebKits hantering av händelser där man håller muspekaren över objekt. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller körning av opålitlig kod. Det här problemet åtgärdas genom förbättrad hantering av pekhändelser. Tack till Dave Bowker på davebowker.com som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-1413

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: En användares NTLM-uppgifter kan exponeras för en man i mitten av angriparen

    Beskrivning: Under vissa omständigheter kan WebKit skicka NTLM-uppgifter i vanlig text. Detta kan göra det möjligt för tjuvlyssnande angripare att se NTLM-inloggningsuppgifter. Problemet åtgärdades genom förbättrad hantering av NTLM-inloggningsuppgifter. Av: Apple.

  • WebKit

    CVE-ID: CVE-2010-1414

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadlig webbplats kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Det finns ett UAF-fel i WebKits hantering av metoden removeChild DOM. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller körning av opålitlig kod. Problemet åtgärdades genom förbättrad hantering av borttagningen av underordnade element. Tack till Mark Dowd på Azimuth Security som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-1415

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadlig webbplats kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Ett problem med API-missbruk finns i WebKits hantering av libxml-kontexter. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller körning av opålitlig kod. Problemet åtgärdades genom förbättrad hantering av libxml-kontextobjekt. Tack till Aki Helin på OUSPG som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-1416

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en uppsåtligt skapad webbplats kan avslöja bilder från andra webbplatser

    Beskrivning: Det finns ett problem med bildtagning över flera webbplatser i WebKit. En skadligt utformad webbplats som använder en yta med ett SVG-bildmönster kan läsa in och fånga bilder från andra webbplatser. Problemet åtgärdades genom att begränsa läsningen av ytor med mönster som lästs in från andra webbplatser. Tack till Chris Evans på Google Inc. som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-1417

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadlig webbplats kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Det finns ett minnesfel i WebKits rendering av HTML-innehåll med CSS-format med flera :efter-pseudo-väljare. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller körning av opålitlig kod. Problemet åtgärdades genom förbättrad rendering av HTML-innehåll. Tack till wushi på team509 som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-1418

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en uppsåtligt skapad webbplats kan leda till en attack via skriptkörning över flera webbplatser

    Beskrivning: Det finns ett problem med indatavalidering i WebKits hantering av ramelementets src-attribut. Attribut som har ett javascript-schema och inledande mellanslag betraktas som giltiga. Skadligt utformade webbplatser kan leda till en attack med skriptkörning på flera webbplatser. Uppdateringen åtgärdar problemet genom att korrekt validera frame.src innan webbadressen avrefereras. Tack till Sergey Glazunov som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-1419

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadlig webbplats kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Det finns ett UAF-fel i WebKits hantering av dra och släpp när fönstret som fungerar som en källa till en dra-åtgärd stängs innan dra-åtgärden är klar. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller opålitlig kod körs. Problemet åtgärdas genom förbättrad minneshantering. Tack till kuzzcc och Skylined på Google Chrome Security Team som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-1421

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en uppsåtligt skapad webbplats kan ändra innehållet i urklipp

    Beskrivning: Det finns ett designproblem vid implementeringen av JavaScript-funktionen execCommand. En uppsåtligt skapad webbsida kan ändra innehållet i urklippet utan användarinteraktion. Det här problemet åtgärdas genom att endast tillåta att urklippskommandon körs om de initieras av användaren. Av: Apple.

  • WebKit

    CVE-ID: CVE-2010-0544

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadlig webbplats kan resultera i en attack via skriptkörning över flera webbplatser

    Beskrivning: Ett problem i Webkits hantering av felaktiga webbadresser kan resultera i en attack via skriptkörning över flera webbplatser när du besöker en skadligt skapad webbplats. Problemet åtgärdades genom förbättrad hantering av webbadresser. Tack till Michal Zalewski på Google, Inc. som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-1758

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadlig webbplats kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Det finns ett UAF-fel i WebKits hantering av DOM Range-objekt. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller körning av opålitlig kod. Problemet åtgärdades genom förbättrad hantering av DOM-intervallobjekt. Tack till Yaar Schnitman på Google Inc. som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-1759

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadlig webbplats kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Det finns ett UAF-fel i WebKits hantering av metoden Node.normalize. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller körning av opålitlig kod. Problemet åtgärdades genom förbättrad hantering av metoden Node.normalize. Tack till Mark Dowd som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-1761

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadlig webbplats kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Ett UAF-fel finns i WebKits rendering av HTML-dokuments subtrees. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller körning av opålitlig kod. Problemet åtgärdades genom förbättrad rendering av underträd i HTML-dokument. Tack till James Robinson på Google Inc. som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-1762

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en uppsåtligt skapad webbplats kan leda till en attack via skriptkörning över flera webbplatser

    Beskrivning: Det finns ett designproblem i hanteringen av HTML som finns i textområdeselement. Besök på en skadligt utformad webbplats kan leda till en attack med skriptkörning över flera webbplatser. Problemet åtgärdades genom förbättrad validering av textområdeselement. Tack till Eduardo Vela Nava (sirdarckcat) på Google Inc. som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-1764

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en webbplats som omdirigerar formulärinlämningar kan leda till att information lämnas ut

    Beskrivning: Det finns ett designproblem i WebKits hantering av HTTP-omdirigeringar. När en formulärinlämning omdirigeras till en webbplats som också gör en omdirigering kan informationen i det inskickade formuläret skickas till den tredje webbplatsen. Detta problem åtgärdas genom förbättrad hantering av HTTP-omdirigeringar. Tack till Marc Worrell på WhatWebWhat som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-1770

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadlig webbplats kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Ett typkontrollproblem finns i WebKits hantering av textnoder. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller körning av opålitlig kod. Problemet åtgärdas med förbättrad typkontroll. Tack till wushi of team509, från TippingPoints Zero Day Initiative, som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2010-1771

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadlig webbplats kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Det finns ett UAF-fel i WebKits hantering av typsnitt. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller körning av opålitlig kod. Problemet åtgärdas med förbättrad hantering av typsnitt. Av: Apple.

  • WebKit

    CVE-ID: CVE-2010-1774

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadlig webbplats kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Ett problem med minnesåtkomst utanför gränserna finns i WebKits hantering av HTML-tabeller. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller opålitlig kod körs. Det här problemet åtgärdas genom förbättrad gränskontroll. Tack till wushi på team509 som rapporterade problemet.

  • WebKit

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 eller senare, Mac OS X Server 10.6.2 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: En uppsåtligt skapad webbplats kan kanske avgöra vilka webbplatser en användare har besökt

    Beskrivning: Det finns ett designproblem i WebKits hantering av CSS :visited pseudo-klassen. En uppsåtligt skapad webbplats kan kanske avgöra vilka webbplatser en användare har besökt. Denna uppdatering begränsar webbsidors möjlighet att utforma sidor baserat på om länkar besöks.

Obs! Safari 5.0 och Safari 4.1 tar upp samma säkerhetsproblem. Safari 5.0 tillhandahålls för Mac OS X 10.5, Mac OS X 10.6 och Microsoft Windows-system. Safari 4.1 tillhandahålls för Mac OS X 10.4-system.

Viktigt! Information om produkter som inte tillverkas av Apple ges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Kontakta säljaren för ytterligare information.

Publiceringsdatum: