Om säkerhetsinnehållet i Safari 4.0.3

Detta dokument beskriver säkerhetsinnehållet i Safari 4.0.3.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har utförts och alla nödvändiga buggfixar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apple Product Security.

Information om Apples PGP-nyckel för produktsäkerhet finns i "Så här använder du en PGP-nyckel från Apple Product Security".

Om möjligt används CVE-ID:n som referenser till ytterligare information om sårbarheterna.

Mer information om andra säkerhetsuppdateringar finns på "Säkerhetsuppdateringar från Apple".

Safari 4.0.3

  • CoreGraphics

    CVE-ID: CVE-2009-2468

    Tillgänglig för: Windows XP och Vista

    Inverkan: Om du besöker en webbplats med skadligt innehåll kan du råka ut för att programmet avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Heap-buffertspill förekommer när långa textsträngar skapas. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller att opålitlig kod körs. Den här uppdateringen löser problemet genom förbättrade gränskontroller. Tack till Will Drewry på Google Inc som rapporterade problemet.

  • ImageIO

    CVE-ID: CVE-2009-2188

    Tillgänglig för: Windows XP och Vista

    Inverkan: Visning av en bild med skadligt innehåll bild kan leda till att program avslutas eller att opålitlig kod körs

    Beskrivning: Buffertspill förekommer i hanteringen av EXIF-metadata. Visning av en bild med skadligt innehåll kan leda till program avslutas eller att opålitlig kod körs. Den här uppdateringen åtgärdar problemet genom förbättrade gränskontroller.

  • Safari

    CVE-ID: CVE-2009-2196

    Tillgänglig för: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP och Vista

    Inverkan: En webbplats med skadligt innehåll kan komma in i vyn Top Sites i Safari

    Beskrivning: Safari 4 lanserade funktionen Top Sites för att ge användarna en smidig överblick över sina favoritsidor. Det är möjligt för en webbplats med skadligt innehåll att automatiskt släppa in opålitliga sidor i vyn Top Sites. Detta kan användas till att jämna väg för en nätfiskeattack. Problemet åtgärdas genom att automatiserade webbplatsbesök förhindras från att påverka Top Sites-listan. Endast de webbplatser som användaren besöker manuellt inkluderas i Top Sites-listan. Notera att Safari har aktiv detektering av bedrägliga sidor som standard. Sedan funktionen Top Sites introducerades visas inte bedrägliga sidor i vyn Top Sites. Tack till Inferno på SecureThoughts.com som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2009-2195

    Tillgänglig för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP och Vista

    Inverkan: Om du besöker en webbplats med skadligt innehåll kan du råka ut för att programmet avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Buffertspill förekommer i WebKits tolkning av flyttal. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller att opålitlig kod körs. Den här uppdateringen löser problemet genom förbättrade gränskontroller. Tack till: Apple.

  • WebKit

    CVE-ID: CVE-2009-2200

    Tillgänglig för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP och Vista

    Inverkan: Att besöka en webbplats med skadligt innehåll och klicka OK på en skadlig plugin-dialogruta kan leda till att konfidentiell information röjs

    Beskrivning: WebKit tillåter attributet pluginspage i det inbäddade elementet att referera till fil-URL:er. När en okänd plugin-typ refereras och du klickar OK i dialogen som visas, kommer den att omdirigera till URL:en i attributet pluginspage. Dett kan ge hackare åtkomst till att skicka fil-URL:er till Safari, vilket kan leda till att konfidentiell information röjs. Den här uppdateringen åtgärdar problemet genom att begränsa URL-schemat för attributet pluginspage från http till https. Tack till Alexios Fakos på n.runs AG som rapporterade problemet.

  • WebKit

    CVE-ID: CVE-2009-2199

    Tillgänglig för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Windows XP och Vista

    Inverkan: Dubbelgångartecken i en URL kan användas till att imitera en webbplats

    Beskrivning: IDN-stödet (International Domain Name) och Unicode-typsnitten som är inbäddade i Safari, kan användas för att skapa en URL som innehåller dubbelgångartecken. Dessa kan användas på en webbplats med skadligt innehåll för att styra användaren till en förfalskad webbplats, som ser ut att vara en riktig domän. Den här uppdateringen åtgärdar problemet genom komplettering av WebKits lista över kända dubbelgångartecken. Dubbelgångartecken återges i Punycode i adressfältet. Tack till Chris Weber på Casaba Security LLC som rapporterade problemet.

Publiceringsdatum: