Om säkerhetsinnehållet i Safari 4.0.4

Detta dokument beskriver säkerhetsinnehållet i Safari 4.0.4.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apples produktsäkerhet.

Information om Apples PGP-nyckel för produktsäkerhet finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns på Säkerhetsuppdateringar från Apple.

Safari 4.0.4

  • ColorSync

    CVE-ID: CVE-2009-2804

    Tillgänglig för: Windows 7, Vista, XP

    Problem: Visning av en skadlig bild med en inbäddad färgprofil kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: Det förekommer spill vid heltalsoperationer i hanteringen av bilder med inbäddade färgprofiler, vilket kan leda till heap-buffertspill. Om du öppnar en skadlig bild med en inbäddad färgprofil kan det leda till att program avslutas oväntat eller att opålitlig kod körs. Denna uppdatering åtgärdar problemet genom att utföra ytterligare verifiering av färgprofiler. Problemet påverkar inte system med Mac OS X 10.6. Problemet har redan lösts i Security Update 2009-005 för system med Mac OS X 10.5.8. Tack till: Apple.

  • libxml

    CVE-ID: CVE-2009-2414, CVE-2009-2416

    Tillgänglig för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Windows 7, Vista, XP

    Problem: Avkodning av skadligt XML-innehåll kan leda till att program avslutas oväntat.

    Beskrivning: Det finns flera problem med use-after-free i libxml2. Det allvarligaste problemet kan leda till att program avslutas oväntat. Uppdateringen åtgärdar problemen genom förbättrad minneshantering. Detta problem har redan åtgärdats i Mac OS X 10.6.2 och i Security Update 2009-006 för Mac OS X 10.5.8-system.

  • Safari

    CVE-ID: CVE-2009-2842

    Tillgänglig för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 och 10.6.2, Mac OS X Server 10.6.1 och 10.6.2, Windows 7, Vista, XP

    Problem: Att använda snabbmenyalternativ på en skadlig webbplats kan leda till spridning av lokal information

    Beskrivning: Det finns ett problem med Safaris navigering om den startas med snabbmenyalternativen Öppna bild i ny flik, Öppna bild i nytt fönster och Öppna länk i ny flik. Om du använder de här alternativen på en skadlig webbplats kan det innebära att en lokal HTML-fil läses in, och att känslig information sprids. Problemet åtgärdas genom att de nämnda menyalternativen avaktiveras när länkens mål är en lokal fil.

  • WebKit

    CVE-ID: CVE-2009-2816

    Tillgänglig för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 och 10.6.2, Mac OS X Server 10.6.1 och 10.6.2, Windows 7, Vista, XP

    Problem: Besök på webbplatser med skadligt innehåll kan orsaka oväntade åtgärder på andra webbplatser

    Beskrivning: Det finns ett problem med WebKits implementering av Cross-Origin Resource Sharing. Innan en sida från ett ursprung tillåts få åtkomst till en resurs i ett annat ursprung skickar WebKit en begäran till den senare servern om åtkomst till resursen. I WebKit finns anpassade HTTP-huvuden som anges av den begärande sidan i begäran. Detta kan underlätta förfalskning av begäranden mellan webbplatser. Problemet åtgärdas genom att anpassade HTTP-huvuden tas bort från begäranden. Tack till: Apple.

  • WebKit

    CVE-ID: CVE-2009-3384

    Tillgänglig för: Windows 7, Vista, XP

    Problem: Åtkomst till en skadlig FTP-server kan leda till att program avslutas oväntat, att information sprids eller att godtycklig kod körs.

    Beskrivning: Det finns flera svagheter i hur WebKit hanterar FTP-kataloglistor. Om du öppnar en skadlig FTP-server kan information spridas, program avslutas oväntat eller opålitlig kod köras. Denna uppdatering åtgärdar problemen genom förbättrad tolkning av FTP-kataloglistor. Dessa problem påverkar inte Safari på Mac OS X-system. Tack till Michal Zalewski från Google Inc. som rapporterade problemen.

  • WebKit

    CVE-ID: CVE-2009-2841

    Tillgänglig för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 och 10.6.2, Mac OS X Server 10.6.1 och 10.6.2

    Problem: Mail kan läsa in ljud- och videoinnehåll även när bildinläsning är avaktiverat.

    Beskrivning: När WebKit påträffar ett HTML 5 Media Element som pekar på en extern resurs utfärdas inte en resursbelastningscallback för att avgöra om resursen ska läsas in. Detta kan leda till oönskade begäranden till fjärrservrar. Till exempel kan avsändaren av ett HTML-formaterat e-postmeddelande använda detta för att ta reda på om meddelandet har lästs. Problemet åtgärdas genom att resursbelastningscallbacks genereras när WebKit påträffar ett HTML 5 Media Element. Det här problemet påverkar inte Safari på Windows-system.

Publiceringsdatum: