关于 Safari 3.1.1 的安全内容

  • 上次修改时间: 05 五月, 2008
  • 文章: HT1467

摘要

本文介绍了 Safari 3.1.1 的安全内容,您可以通过软件更新偏好设置,或从Apple 下载进行下载和安装。

为保护我们的客户,在未进行详尽的调查并推出必要的修补程序或发行版之前,Apple 不会公开、讨论或确认安全性问题。要了解有关 Apple 产品安全性的更多信息,请访问 Apple 产品安全性网站。

有关 Apple 产品安全 PGP 密匙的信息,请参阅“如何使用 Apple 产品安全性 PGP 密钥”。

如果可能,请使用 CVE IDs 来查阅漏洞的详细信息。

要了解其他安全性更新内容,请参阅“Apple 安全性更新”。

受影响的产品

产品安全性, Safari 3.1, Safari 3 (Windows)

  • Safari
    CVE-ID:CVE-2007-2398
    适用于:Windows XP 或 Vista
    影响:恶意制作的网站可能会控制地址栏的内容
    说明:Safari 3.1 中的定时问题允许网页更改地址栏内容,但不加载相应页面的内容。这可能用于伪装成合法站点的内容,从而允许收集用户凭证或其他信息。此问题已在 Safari Beta 3.0.2 中得到解决,但又再次引入到 Safari 3.1 中。此更新通过新网页的请求终止时恢复地址栏内容,解决了此问题。此问题并不影响 Mac OS X 系统。

     

  • Safari
    CVE-ID:CVE-2008-1024
    适用于:Windows XP 或 Vista
    影响:访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行
    说明:Safari 文件下载时存在内存损坏问题。攻击者可能会诱使用户下载某个带有恶意制作名称的文件,从而导致应用程序意外终止或任意代码执行。此更新改进了对文件下载的处理,解决了上述问题。此问题并不影响 Mac OS X 系统。

     

  • WebKit
    CVE-ID:CVE-2008-1025
    适用于:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.2、Mac OS X Server v10.5.2、Windows XP 或 Vista
    影响:访问恶意网站可能会导致跨网站编写脚本
    说明:WebKi 在处理主机名称中含有冒号的 URL 时存在问题。打开恶意制作的 URL 可能导致跨网站编写脚本攻击。本更新通过改进处理 URL 的方法来解决此问题。感谢 Google 信息安全组的 Robert Swiecki 和 David Bloom 报告此问题。

     

  • WebKit
    CVE-ID:CVE-2008-1026
    适用于:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.2、Mac OS X Server v10.5.2、Windows XP 或 Vista
    影响:观看恶意制作的网页可能会导致应用程序意外终止或任意代码执行
    说明:WebKit 处理 JavaScript 正则表达式时存在堆缓冲区溢出问题。此问题可能通过 JavaScript 在处理具有大型嵌套重复的正则表达式时触发。这可能导致应用程序意外终止或任意代码执行。本更新通过对 JavaScript 正则表达式进行额外验证解决了此问题。感谢 Charlie Miller 报告此问题。

Important: Information about products not manufactured by Apple is provided for information purposes only and does not constitute Apple’s recommendation or endorsement. Please contact the vendor for additional information.