Om säkerhetsinnehållet i Safari 4.0.3

I det här dokumentet beskrivs säkerhetsinnehållet i Safari 4.0.3.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen för Apples Product Security.

Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple."

Safari 4.0.3

  • CoreGraphics

    CVE-ID: CVE-2009-2468

    Tillgängligt för: Windows XP och Vista

    Effekt: När du besöker en webbplats med skadligt innehåll kan det leda till att program oväntat avslutas eller körning av opålitlig kod

    Beskrivning: Översvämning av en heap-buffert förekommer när långa textsträngar skrivs. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller körning av opålitlig kod. Den här uppdateringen åtgärdar problemet genom förbättrad kontroll av gränserna. Tack till Will Drewry på Google Inc som rapporterade problemet.

  • ImageIO

    CVE-ID: CVE-2009-2188

    Tillgängligt för: Windows, XP och Vista

    Effekt: Visning av en skadlig bild kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Ett buffertspill förekommer i hanteringen av EXIF-metadata. Visning av en bild med skadligt innehåll kan leda till att program avslutas oväntat eller att opålitlig kod körs. Den här uppdateringen åtgärdar problemet genom förbättrad kontroll av gränserna.

  • Safari

    CVE-ID: CVE-2009-2196

    Tillgängligt för: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows XP och Vista

    Effekt: En uppsåtligt skapad webbplats kan marknadsföras till Safaris Top Sites-vy

    Beskrivning: Safari 4 introducerade Top Sites-funktionen för att ge en överblick över en användares favoritwebbplatser. Det är möjligt för en skadlig webbplats att marknadsföra godtyckliga webbplatser i vyn Top Sites genom automatiska åtgärder. Detta kan användas för att underlätta en nätfiskeattack. Det här problemet åtgärdas genom att förhindra att automatiska webbplatsbesök påverkar Top Sites-listan. Endast webbplatser som användaren besöker manuellt kan inkluderas i Top Sites-listan. Som en notering möjliggör Safari identifiering av bedräglig webbplats som standard. Sedan introduktionen av Top Sites-funktionen visas inte bedrägliga webbplatser i Top Sites-vyn. Tack till Inferno på SecureThoughts.com som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2009-2195

    Tillgängligt för: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows XP och Vista

    Effekt: Besök på en skadlig webbplats kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Ett buffertspill finns i WebKits analys av flyttal. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller körning av opålitlig kod. Den här uppdateringen åtgärdar problemet genom förbättrad kontroll av gränserna. Av: Apple.

  • WebKit

    CVE-ID: CVE-2009-2200

    Tillgängligt för: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows XP och Vista

    Effekt: Besök på en skadlig webbplats och klickande på ”Kör” när du visar en dialogruta för ett skadligt insticksprogram kan leda till att känslig information avslöjas

    Beskrivning: WebKit tillåter pluginspage-attributet för elementet ”embed” att referera till fil-URL:er. Om du klickar på ”Kör” i dialogrutan som visas när en okänd insticksprogramstyp refereras till omdirigeras till URL:en som anges i pluginspage-attributet. Detta kan tillåta en fjärrangripare att starta fil-URL:er i Safari och leda till att känslig information avslöjas. Den här uppdateringen åtgärdar problemet genom att begränsa pluginspage URL-schema till http eller https. Tack till Alexios Fakos på n.runs AG som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2009-2199

    Tillgängligt för: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows XP och Vista

    Effekt: Look-alike-tecken i en URL kan användas för att maskera en webbplats

    Beskrivning: Stödet för International Domain Name (IDN) och Unicode-teckensnitt inbäddade i Safari kan användas för att skapa en URL som innehåller look-alike-tecken. Dessa kan användas på en skadlig webbplats för att leda användaren till en falsk webbplats som visuellt ser ut som en legitim domän. Den här uppdateringen åtgärdar problemet genom att komplettera WebKits lista över kända lookalike-tecken. Lookalike-tecken återskapar i Punycode i adressfältet. Tack till Chris Weber på Casaba Security, LLC som rapporterade problemet.

Viktigt! Information om produkter som inte tillverkas av Apple ges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Kontakta säljaren för ytterligare information.

Publiceringsdatum: