關於 Safari 3.1.1 的安全性內容

  • 最後更新: 05 五月, 2008
  • 文章: HT1467

摘要

此文件描述了 Safari 3.1.1 的安全性內容,可透過軟體更新偏好設定,或從Apple 下載進行下載和安裝。

為了保護客戶利益,在執行完整調查並且可以使用所有必要的修補程式或發行版本之前,Apple 不會洩漏、討論或確認安全問題。若要瞭解有關“Apple 產品安全性”的更多資訊,請造訪 Apple 產品安全性網站。

如需有關“Apple 產品安全性 PGP 金鑰”的資訊,請參閱“How to use the Apple Product Security PGP Key”。

如有可能,可以使用 CVE ID 參閱有關漏洞的更多詳細資訊。

若要瞭解其他“安全性更新”,請參閱“Apple 安全性更新”。

受影響的產品

產品安全性, Safari 3.1, Safari 3 (Windows)

Safari 3.1.1

  • Safari
    CVE-ID: CVE-2007-2398
    適用於:Windows XP 或 Vista
    影響:惡意製作的網站可能會控制網址列的內容
    說明:Safari 3.1 中的計時問題允許網頁更改網址列的內容,但不加載對應頁面的內容。這可用來偽裝成合法網站的內容,以便收集使用者憑證或其他資訊。此問題在 Safari Beta 3.0.2 中得到解決,但在 Safari 3.1 中重新展現。此更新藉由新網頁的請求終止時回復網址列的內容,解決了此問題。此問題不會影響 Mac OS X 系統。

     

  • Safari
    CVE-ID: CVE-2008-1024
    適用於:Windows XP 或 Vista
    影響:造訪惡意製作的網站可能會導致非預期的應用程式終止或程式碼自動執行
    說明:下載 Safari 的檔案時,會發生記憶體損毀問題。透過誘導使用者下載具有惡意製作之名稱的檔案,攻擊者會導致應用程式意外終止或任意執行程式碼。此更新透過改善檔案下載處理,解決了問題。此問題不會影響 Mac OS X 系統。

     

  • WebKit
    CVE-ID: CVE-2008-1025
    適用於:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.2、Mac OS X Server v10.5.2、Windows XP 或 Vista
    影響:造訪惡意網站可能會導致跨網站指令碼
    說明:WebKi 在處理主機名稱中含有冒號的 URL 時存在問題。打開惡意製作的 URL 可能導致跨網站指令碼攻擊。此項更新藉由透過改進 URL 的處理方式解決此一問題。感謝 Google 資訊安全團隊的 Robert Swiecki 和 David Bloom 報告此問題。

     

  • WebKit
    CVE-ID: CVE-2008-1026
    適用於:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.2、Mac OS X Server v10.5.2、Windows XP 或 Vista
    影響:檢視惡意製作的網頁可能導致非預期的應用程式終止或程式碼自動執行
    說明:WebKit 處理 JavaScript 正規表示式時,存在堆疊緩衝區溢位問題。透過 JavaScript 用龐大的巢狀重複計數處理正規表示式時,會觸發問題。 這可能導致非預期的應用程式終止或程式碼自動執行。此更新會藉由追加執行額外的 JavaScript 正規表示式認證以解決此問題。感謝 Charlie Miller 報告此問題。

Important: Information about products not manufactured by Apple is provided for information purposes only and does not constitute Apple’s recommendation or endorsement. Please contact the vendor for additional information.