关于 Windows 版 Safari 浏览器 3.1.2 的安全性内容

本文介绍了 Windows 版 Safari 浏览器 3.1.2 的安全性内容，可以通过“软件更新”偏好设置或从 Apple 下载网站进行下载和安装。

为了保护我们的客户，在进行详尽调查并推出任何必要的修补程序或发行版之前，Apple 不会透露、讨论或确认安全性问题。要进一步了解 Apple 产品安全性，请参阅“Apple 产品安全性”网站。

如需了解 Apple 产品安全性 PGP 密钥，请参阅“如何使用 Apple 产品安全性 PGP 密钥”。

在可能的情况下，我们会使用 CVE ID 来引用相应的漏洞以提供更多信息。

要了解其他安全性更新，请参阅“Apple 安全性更新”。

Windows 版 Safari 浏览器 3.1.2

Safari

CVE-ID：CVE-2008-1573

适用于：Windows XP 或 Windows Vista

影响：查看恶意制作的 BMP 或 GIF 图像可能会导致任意代码执行。

描述：在处理 BMP 和 GIF 图像时可能会发生越界内存读取，这可能会导致内存内容泄露。此更新通过对 BMP 和 GIF 图像进行额外验证解决了这个问题。在运行 Mac OS X 10.5.3 的系统中以及具有安全性更新 2008-003 的 Mac OS X 10.4.11 的系统中，这个问题已得到解决。由衷感谢 Hispasec 的 Gynvael Coldwind 报告此问题。

Safari

CVE-ID：CVE-2008-2540

适用于：Windows XP 或 Windows Vista

影响：将不受信任的文件存储至 Windows 桌面可能会导致任意代码执行。

描述：Windows 桌面处理可执行文件的方式存在问题。将不受信任的文件存储至 Windows 桌面可能会触发这个问题，导致任意代码执行。网页浏览器是可将文件存储至桌面的一种手段。为帮助缓解此问题，Safari 浏览器已更新为在存储下载的文件之前向用户发出提示。此外，默认下载位置已更改为 Windows Vista 中用户的“下载”文件夹，以及 Windows XP 中用户的“文档”文件夹。运行 Mac OS X 的系统中不存在此问题。有关更多信息，请访问 http://www.microsoft.com/technet/security/advisory/953818.mspx。由衷感谢 Aviv Raff 报告此问题。

Safari

CVE-ID：CVE-2008-2306

适用于：Windows XP 或 Windows Vista

影响：访问位于受信任的 Internet Explorer 区域的恶意网站可能会导致自动执行任意代码。

描述：如果网站位于 Internet Explorer 7 区域且“启动应用程序和不安全的文件”设置设为“启用”，或者如果网站位于 Internet Explorer 6 的“本地 Intranet”或“信任站点”区域，Safari 浏览器会自动启动从该网站下载的可执行文件。此更新通过不自动启动下载的可执行文件，并在启用了“始终提示”设置的情况下于下载之前提示用户，解决了这个问题。运行 Mac OS X 的系统上不存在此问题。由衷感谢 CERT/CC 的 Will Dormann 报告此问题。感谢 Microsoft 安全响应中心为解决此问题所提供的协作。

WebKit

CVE-ID：CVE-2008-2307

适用于：Windows XP 或 Windows Vista

影响：访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行。

描述：在 WebKit 处理 JavaScript 数组时存在内存损坏问题。访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行。此更新通过改进边界检查解决了这个问题。由衷感谢 James Urquhart 报告此问题。