Om säkerhetsinnehållet i Safari 5.1 och Safari 5.0.6

Det här dokumentet beskriver säkerhetsinnehållet i Safari 5.1 och Safari 5.0.6. Safari 5.1 ingår i OS X Lion.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen för Apples Product Security.

Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-lösenkod från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple."

Safari 5.1 och Safari 5.0.6

  • CFNetwork

    Tillgängligt för: Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadligt utformad webbplats kan leda till en attack med skriptkörning över flera webbplatser

    Beskrivning: I vissa situationer kan Safari behandla en fil som HTML, även om den tillhandahålls med innehållstypen ”text/plain”. Detta kan leda till en attack med skriptkörning över flera webbplatser på webbplatser som tillåter att obetrodda användare lägger upp textfiler. Problemet åtgärdas genom förbättrad hantering av ”text/plain”-innehåll.

    CVE-ID

    CVE-2010-1420: Hidetake Jo som arbetar med Microsoft Vulnerability Research (MSVR), Neal Poole på Matasano Security

  • CFNetwork

    Tillgängligt för: Windows 7, Vista, XP SP2 eller senare

    Effekt: Autentisering till en skadligt utformad webbplats kan leda till körning av opålitlig kod

    Beskrivning: NTLM-autentiseringsprotokollet är mottagligt för en upprepningsattack som kallas referensreflektion. Autentisering på en skadligt utformad webbplats kan leda till körning av opålitlig kod. Safari uppdaterats för att minska detta problem med skyddsmekanismer som nyligen lagts till i Windows. Detta problem påverkar inte system med Mac OS X.

    CVE-ID

    CVE-2010-1383: Takehiro Takahashi på IBM X-Force Research

  • CFNetwork

    Tillgängligt för: Windows 7, Vista, XP SP2 eller senare

    Effekt: Ett rotcertifikat som är inaktiverat kan fortfarande vara betrott

    Beskrivning: CFNetwork validerade inte korrekt att ett certifikat var betrott för användning av en SSL-server. Detta innebär att i fall där användaren hade markerat ett systemrotcertifikat som obetrott skulle Safari fortfarande acceptera detta certifikat som rotsignerat. Problemet åtgärdas genom förbättrad certifikatvalidering. Detta problem påverkar inte system med Mac OS X.

    CVE-ID

    CVE-2011-0214: en anonym rapportör

  • ColorSync

    Tillgängligt för: Windows 7, Vista, XP SP2 eller senare

    Effekt: Visning av en bild med skadligt innehåll och inbäddad ColorSync-profil kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Det förekom ett heltalsspill i hanteringen av bilder med inbäddad ColorSync-profil, vilket kan leda till ett heapbuffertspill. Visning av en bild med skadligt innehåll och med en inbäddad ColorSync-profil kan leda till att program oväntat avslutas eller körning av opålitlig kod. För Mac OS X v10.5-system åtgärdas problemet i Säkerhetsuppdatering 2011-004.

    CVE-ID

    CVE-2011-0200: binaryproof som arbetar med TippingPoints Zero Day Initiative

  • CoreFoundation

    Tillgängligt för: Windows 7, Vista, XP SP2 eller senare

    Effekt: Program där CoreFoundation-ramverk används kan vara sårbara för oväntad programavslutning och körning av opålitlig kod

    Beskrivning: Det förekom ett problem med buffertspill till följd av förskjutning i hanteringen av CFStrings. Program där CoreFoundation-ramverk används kan vara sårbara för oväntad programavslutning och körning av opålitlig kod. För Mac OS X v10.6-system åtgärdas detta problem i Mac OS X v10.6.8.

    CVE-ID

    CVE-2011-0201: Harry Sintonen

  • CoreGraphics

    Tillgängligt för: Windows 7, Vista, XP SP2 eller senare

    Effekt: Att öppna en skadligt utformad PDF-fil kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Det förekom ett heltalsspill i hanteringen av typ 1-typsnitt. Visning eller hämtning av ett dokument som innehåller ett typsnitt med skadligt innehåll kan leda till att opålitlig kod körs. För Mac OS X v10.6-system åtgärdas det här problemet i Mac OS X v10.6.8. För Mac OS X v10.5-system åtgärdas det här problemet i Säkerhetsuppdatering 2011-004.

    CVE-ID

    CVE-2011-0202: Cristian Draghici på Modulo Consulting, Felix Grobert på Google Security Team

  • International Components for Unicode

    Tillgängligt för: Windows 7, Vista, XP SP2 eller senare

    Effekt: Program där ICU används kan vara sårbara för oväntad programavslutning och körning av opålitlig kod

    Beskrivning: Det förekom ett problem med buffertspill i ICU-hanteringen av textsträngar med versaler. Program där ICU används kan vara sårbara för oväntad programavslutning och körning av opålitlig kod. För Mac OS X v10.6-system åtgärdas detta problem i Mac OS X v10.6.8.

    CVE-ID

    CVE-2011-0206: David Bienvenu på Mozilla

  • ImageIO

    Tillgängligt för: Windows 7, Vista, XP SP2 eller senare

    Effekt: Visning av en TIFF-bild med skadligt innehåll kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Det förekom ett heapbuffertspill i ImageIO-hanteringen av TIFF-bilder. Visning av en TIFF-bild med skadligt innehåll kan leda till att program avslutas oväntat eller att opålitlig kod körs. För Mac OS X v10.6-system åtgärdas det här problemet i Mac OS X v10.6.8. För Mac OS X v10.5-system åtgärdas det här problemet i Säkerhetsuppdatering 2011-004.

    CVE-ID

    CVE-2011-0204: Dominic Chell på NGS Secure

  • ImageIO

    Tillgängligt för: Windows 7, Vista, XP SP2 eller senare

    Effekt: Visning av en TIFF-bild med skadligt innehåll kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Det förekom ett heapbuffertspill i ImageIO-hanteringen av CCITT Group 4-kodade TIFF-bilder. Visning av en TIFF-bild med skadligt innehåll kan leda till att program avslutas oväntat eller att opålitlig kod körs.

    CVE-ID

    CVE-2011-0241: Cyril CATTIAUX på Tessi Technologies

  • ImageIO

    Tillgängligt för: Windows 7, Vista, XP SP2 eller senare

    Effekt: Visning av en TIFF-bild med skadligt innehåll kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Ett problem med återinträde förekom i ImageIO-hanteringen av TIFF-bilder. Visning av en TIFF-bild med skadligt innehåll kan leda till att program avslutas oväntat eller att opålitlig kod körs. Detta problem påverkar inte system med Mac OS X.

    CVE-ID

    CVE-2011-0215: Juan Pablo Lopez Yacubian som arbetar med iDefense VCP

  • ImageIO

    Tillgängligt för: Windows 7, Vista, XP SP2 eller senare

    Effekt: Visning av en TIFF-bild med skadligt innehåll kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Det förekom ett heapbuffertspill i ImageIO-hanteringen av TIFF-bilder. Visning av en TIFF-bild med skadligt innehåll kan leda till att program avslutas oväntat eller att opålitlig kod körs. För Mac OS X v10.6-system åtgärdas det här problemet i Mac OS X v10.6.8. För Mac OS X v10.5-system åtgärdas det här problemet i Säkerhetsuppdatering 2011-004.

    CVE-ID

    CVE-2011-0204: Dominic Chell på NGS Secure

  • libxslt

    Tillgängligt för: Windows 7, Vista, XP SP2 eller senare

    Effekt: besök på en skadligt utformad webbplats kan leda till att adresser på heapen avslöjas

    Beskrivning: libxslt-implementeringen av XPath-funktionen generate-id() avslöjade adressen till en heapbuffert. Besök på en skadlig webbplats kan leda till spridning av adresser på heapen. Problemet åtgärdas genom generering av ett ID som baseras på skillnaden mellan de två heapbufferternas adresser. För Mac OS X v10.6-system åtgärdas det här problemet i Mac OS X v10.6.8. För Mac OS X v10.5-system åtgärdas det här problemet i Säkerhetsuppdatering 2011-004.

    CVE-ID

    CVE-2011-0195: Chris Evans på Google Chrome Security Team

  • libxml

    Tillgängligt för: Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadligt utformad webbplats kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Det förekom ett enbytes heapbuffertspill i libxml-hanteringen av XML-data. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller körning av opålitlig kod.

    CVE-ID

    CVE-2011-0216: Billy Rios på Google Security Team

  • Safari

    Tillgängligt för: Mac OS X v10.6.8 eller senare, Mac OS X Server v10.6.8 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Om funktionen ”Autofyll webbformulär” är aktiverad och användaren besöker en skadligt utformad webbplats och skriver in något kan det leda till att information från användarens adressbok avslöjas

    Beskrivning: Safari-funktionen ”Autofyll webbformulär” fyllde i icke-synliga formulärfält och informationen var tillgänglig för skript på webbplatsen innan användaren skickade in formuläret. Detta problem åtgärdas genom att visa alla fält som kommer att fyllas i och kräver användarens samtycke innan informationen som fyllts i automatiskt är tillgänglig för formuläret.

    CVE-ID

    CVE-2011-0217: Florian Rienhardt på BSI, Alex Lambert, Jeremiah Grossman

  • Safari

    Tillgängligt för: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.8 eller senare, Mac OS X Server v10.6.8 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Med en viss Java-konfiguration kan ett besök på en skadligt utformad webbplats leda till att oväntad text visas på andra webbplatser

    Beskrivning: Det förekom ett problem med flera ursprung vid hanteringen av Java-applets. Detta gäller när Java är aktiverat i Safari och Java är konfigurerat att köras i webbläsarprocessen. Teckensnitt som laddas av en Java-applet kan påverka visningen av textinnehåll från andra webbplatser. Det här problemet åtgärdas genom att köra Java-applets i en separat process.

    CVE-ID

    CVE-2011-0219: Joshua Smith på Kaon Interactive

  • WebKit

    Tillgängligt för: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.8 eller senare, Mac OS X Server v10.6.8 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadligt utformad webbplats kan leda till en oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Det fanns flera problem med minnesfel i WebKit. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller körning av opålitlig kod.

    CVE-ID

    CVE-2010-1823: David Weston på Microsoft och Microsoft Vulnerability Research (MSVR), wushi från team509 och Yong Li på Research In Motion Ltd

    CVE-2011-0164: Apple

    CVE-2011-0218: SkyLined på Google Chrome Security Team

    CVE-2011-0221: Abhishek Arya (Inferno) på Google Chrome Security Team

    CVE-2011-0222: Nikita Tarakanov och Alex Bazhanyuk på CISS Research Team och Abhishek Arya (Inferno) på Google Chrome Security Team

    CVE-2011-0223: Jose A. Vazquez på spa-s3c.blogspot.com som arbetar med iDefense VCP

    CVE-2011-0225: Abhishek Arya (Inferno) på Google Chrome Security Team

    CVE-2011-0232: J23 som arbetar med TippingPoints Zero Day Initiative

    CVE-2011-0233: wushi från team509 som arbetar med TippingPoints Zero Day Initiative

    CVE-2011-0234: Rob King som arbetar med TippingPoints Zero Day Initiative, wushi från team509 som arbetar med TippingPoints Zero Day Initiative, wushi från team509 som arbetar med iDefense VCP

    CVE-2011-0235: Abhishek Arya (Inferno) på Google Chrome Security Team

    CVE-2011-0237: wushi från team509 som arbetar med iDefense VCP

    CVE-2011-0238: Adam Barth på Google Chrome Security Team

    CVE-2011-0240: wushi från team509 som arbetar med iDefense VCP

    CVE-2011-0253: Richard Keen

    CVE-2011-0254: En anonym forskare som arbetar med TippingPoints Zero Day Initiative

    CVE-2011-0255: En anonym forskare som arbetar med TippingPoints Zero Day Initiative

    CVE-2011-0981: Rik Cabanier på Adobe Systems, Inc

    CVE-2011-0983: Martin Barbella

    CVE-2011-1109: Sergey Glazunov

    CVE-2011-1114: Martin Barbella

    CVE-2011-1115: Martin Barbella

    CVE-2011-1117: wushi från team509

    CVE-2011-1121: miaubiz

    CVE-2011-1188: Martin Barbella

    CVE-2011-1203: Sergey Glazunov

    CVE-2011-1204: Sergey Glazunov

    CVE-2011-1288: Andreas Kling på Nokia

    CVE-2011-1293: Sergey Glazunov

    CVE-2011-1296: Sergey Glazunov

    CVE-2011-1449: Marek Majkowski, wushi från team 509 som arbetar med iDefense VCP

    CVE-2011-1451: Sergey Glazunov

    CVE-2011-1453: wushi från team509 som arbetar med TippingPoints Zero Day Initiative

    CVE-2011-1457: John Knottenbelt på Google

    CVE-2011-1462: wushi från team509

    CVE-2011-1797: wushi från team509

    CVE-2011-3438: wushi från team509 som arbetar med iDefense VCP

    CVE-2011-3443: En anonym forskare som arbetar med iDefense VCP

  • WebKit

    Tillgängligt för: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.8 eller senare, Mac OS X Server v10.6.8 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadligt utformad webbplats kan leda till körning av opålitlig kod

    Beskrivning: Det fanns ett konfigurationsproblem i WebKit-användningen av libxslt. Besök på en uppsåtligt skapad webbplats kan leda till att opålitliga filer skapas med användarens behörighet, vilket i sin tur kan leda till att opålitlig kod körs. Det här problemet åtgärdas genom förbättrade libxslt-säkerhetsinställningar.

    CVE-ID

    CVE-2011-1774: Nicolas Gregoire på Agarri

  • WebKit

    Tillgängligt för: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS vX 10.6.8 eller senare, Mac OS X Server v10.6.8 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadligt utformad webbplats kan leda till att information avslöjas

    Beskrivning: Det förekom ett problem med flera ursprung i hanteringen av Web Workers. Besök på en webbplats med skadligt innehåll kan leda till att information avslöjas.

    CVE-ID

    CVE-2011-1190: Daniel Divricean på divricean.ro

  • WebKit

    Tillgängligt för: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.8 eller senare, Mac OS X Server v10.6.8 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadligt utformad webbplats kan leda till en attack med skriptkörning över flera webbplatser

    Beskrivning: Det förekom ett problem med flera ursprung i hanteringen av webbadresser med inbäddat användarnamn. Besök på en skadligt utformad webbplats kan leda till en attack med skriptkörning över flera webbplatser. Problemet åtgärdas genom förbättrad hantering av webbadresser med inbäddat användarnamn.

    CVE-ID

    CVE-2011-0242: Jobert Abma på Online24

  • WebKit

    Tillgängligt för: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.8 eller senare, Mac OS X Server v10.6.8 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadligt utformad webbplats kan leda till en attack med skriptkörning över flera webbplatser

    Beskrivning: Det förekom ett problem med flera ursprung i hanteringen av DOM-noder. Besök på en webbplats med skadligt innehåll kan leda till en attack med skriptkörning över flera webbplatser.

    CVE-ID

    CVE-2011-1295: Sergey Glazunov

  • WebKit

    Tillgängligt för: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.8 eller senare, Mac OS X Server v10.6.8 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Besök på en skadligt utformad webbplats kan leda till att en annan webbadress visas i adressfältet

    Beskrivning: Det förekom ett problem med förfalskning av webbadresser i hanteringen av DOM-historikobjektet. En skadligt utformad webbplats kunde eventuellt få en annan webbadress att visas i adressfältet.

    CVE-ID

    CVE-2011-1107: Jordi Chancel

  • WebKit

    Tillgängligt för: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X 10.6.8 eller senare, Mac OS X Server v10.6.8 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Att prenumerera på ett skadligt utformat RSS-flöde och klicka på en länk i det kan leda till att information avslöjas

    Beskrivning: Det fanns ett kanoniseringsproblem i hanteringen av webbadresser. Att prenumerera på ett skadligt utformat RSS-flöde och klicka på en länk i det kan leda till att opålitliga filer skickas från användarens system till en fjärrserver. Den här uppdateringen åtgärdar problemet genom förbättrad hantering av webbadresser.

    CVE-ID

    CVE-2011-0244: Jason Hullinger

  • WebKit

    Tillgängligt för: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.8 eller senare, Mac OS X Server v10.6.8 eller senare, Windows 7, Vista, XP SP2 eller senare

    Effekt: Program där WebKit används, såsom e-postklienter, kan ansluta till en opålitlig DNS-server vid bearbetning av HTML-innehåll

    Beskrivning: DNS-förhämtning var aktiverad som standard i WebKit. Program där WebKit används, till exempel e-postklienter, kan ansluta till en opålitlig DNS-server vid bearbetning av HTML-innehåll. Den här uppdateringen åtgärdar problemet genom att kräva att program väljer DNS-förhämtning.

    CVE-ID

    CVE-2010-3829: Mike Cardwell på Cardwell IT Ltd.

Viktigt! Omnämnandet av webbplatser och produkter från tredje part görs endast i informationssyfte och är inte att betrakta som rekommendationer eller stöd. Apple tar inget ansvar för valet eller nyttjandet av information eller produkter från tredje part och inte heller för produkternas prestanda. Apple tillhandahåller detta endast för att underlätta för våra användare. Apple har inte testat informationen på dessa webbplatser och garanterar inte att den är korrekt eller tillförlitlig. Det finns risker med användningen av all information och alla produkter som finns på internet, och Apple tar inget ansvar i detta avseende. Observera att en tredje parts webbplats är oberoende av Apple och att Apple inte har någon kontroll över innehållet på den webbplatsen. Kontakta säljaren för ytterligare information.

Publiceringsdatum: