Windows 版 Safari 3.1.2 のセキュリティコンテンツについて

Windows 版 Safari 3.1.2

• Safari

  CVE-ID：CVE-2008-1573

  対象となる OS：Windows XP または Vista

  影響：悪意を持って作成された BMP または GIF イメージを表示すると、情報が漏洩する可能性がある。

  説明：BMP および GIF イメージの処理中に区域外のメモリを読み取ると、メモリのコンテンツが漏洩する可能性があります。このアップデートでは、BMP および GIF イメージの検証を強化することにより、問題が解消されています。この問題は、Mac OS X 10.5.3 を実行しているシステム、および Security Update 2008-003 を搭載した Mac OS X 10.4.11 では解決されています。この問題の報告は、Hispasec の Gynvael Coldwind 氏の功績によるものです。

• Safari

  CVE-ID：CVE-2008-2540

  対象となる OS：Windows XP または Vista

  影響：Windows デスクトップに信頼できないファイルを保存すると、任意コードが実行されることがあります。

  説明：この問題は、Windows デスクトップでの実行ファイルの処理の仕方にあります。Windows デスクトップに信頼できないファイルを保存すると、この問題が起きることがあり、任意コードが実行される可能性があります。デスクトップにファイルが保存されるのは、Web ブラウザによる場合があります。この問題を軽減できるよう、Safari ブラウザではダウンロードファイルを保存する前にメッセージを表示するようアップデートされました。また、デフォルトのダウンロード先が Windows Vista ではユーザの「Downloads」フォルダに変更され、Windows XP ではユーザの「Documents」フォルダに変更されました。この問題は、Mac OS X を実行中のシステムでは発生しません。詳細は、http://www.microsoft.com/technet/security/advisory/953818.mspxを参照してください。Aviv Raff 氏に基づいてこの問題を報告しています。

• Safari

  CVE-ID：CVE-2008-2306

  対象となる OS：Windows XP または Vista

  影響：信頼されている Internet Explorer ゾーン内であっても悪意のある Web サイトを開くと、任意コードが自動的に実行されることがある

  説明：Internet Explorer 7 ゾーン内の Web サイトは、「Launching applications and unsafe files」設定が「有効」に設定されていれば、そのサイトからダウンロードした実行可能ファイルを Safari が自動的に起動します。Internet Explorer 6 の場合は「ローカルイントラネット」または「信頼されたサイト」ゾーン内の Web サイトは、そのサイトからダウンロードした実行可能ファイルを Safari が自動的に起動します。今回のアップデートでこの問題が解決され、ダウンロードした実行可能ファイルを自動的に起動せず、「always prompt」設定が有効に設定されていれば、ファイルをダウンロードする前にメッセージが表示されるようになりました。この問題は、Mac OS X を実行しているシステムでは発生しません。この問題の報告は、CERT/CC の Will Dormann 氏の功績によるものです。この問題を解決するにあたり、Microsoft Security Response Center の皆様にご協力いただき、ありがとうございました。

• WebKit

  CVE-ID：CVE-2008-2307

  対象となる OS：Windows XP または Vista

  影響：悪意を持って作成された Web サイトにアクセスすると、アプリケーションがクラッシュしたり、任意のコードが実行される可能性がある。

  説明：WebKit による JavaScript アレイの処理時、メモリ破損が引き起こされる可能性があります。悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性があります。このアップデートでは、bounds checking の改善によって、問題が解消されています。この問題の報告は、James Urquhart 氏の功績によるものです。