关于 Safari 浏览器 4.0.4 的安全性内容

本文介绍了 Safari 浏览器 4.0.4 的安全性内容

为保护我们的客户,在未进行详尽调查并推出必要的修补程序或发布版本之前,Apple 不会公开、讨论或确认安全性问题。要进一步了解 Apple 产品安全性,请参阅“Apple 产品安全性”网站。

如需了解 Apple 产品安全性 PGP 密钥,请参阅“如何使用 Apple 产品安全性 PGP 密钥”。

在可能的情况下,我们会使用 CVE ID 来引用相应的漏洞以提供更多信息。

要了解其他安全性更新,请参阅“Apple 安全性更新”。

Safari 浏览器 4.0.4

  • ColorSync

    CVE-ID:CVE-2009-2804

    适用于:Windows 7、Windows Vista、Windows XP

    影响:查看内嵌色彩描述文件的恶意制作图像可能会导致应用程序意外终止或任意代码执行

    描述:处理内嵌色彩描述文件的图像时存在整数溢出,这个问题可能会导致堆缓冲区溢出。打开内嵌色彩描述文件的恶意制作图像可能会导致应用程序意外终止或任意代码执行。已通过对色彩描述文件进行额外验证解决这个问题。这个问题不会影响 Mac OS X v10.6 系统。在适用于 Mac OS X 10.5.8 系统的安全型更新 2009-005 中已经解决了这个问题。报告者:Apple。

  • libxml

    CVE-ID:CVE-2009-2414、CVE-2009-2416

    适用于:Mac OS X v10.4.11、Mac OS X 服务器 v10.4.11、Windows 7、Windows Vista、Windows XP

    影响:解析恶意制作的 XML 内容可能会导致应用程序意外终止

    描述:libxml2 中存在多个“释放后使用”问题,其中最严重的可能会导致应用程序意外终止。这一更新通过改进内存处理,解决了这个问题。在 Mac OS X 10.6.2 和适用于 Mac OS X 10.5.8 系统的安全型更新 2009-006 中已经解决了这个问题。

  • Safari

    CVE-ID:CVE-2009-2842

    适用于:Mac OS X v10.4.11、Mac OS X 服务器 v10.4.11、Mac OS X v10.5.8、Mac OS X 服务器 v10.5.8、Mac OS X v10.6.1 和 v10.6.2、Mac OS X 服务器 v10.6.1 和 v10.6.2、Windows 7、Windows Vista、Windows XP

    影响:在恶意制作的网站中使用快捷菜单选项可能导致本地信息泄露

    描述:Safari 浏览器在处理通过“在新标签页中打开图像”、“在新窗口中打开图像”或“在新标签页中打开链接”快捷菜单选项启动的导航时存在问题。在恶意制作的网站中使用这些选项可能会载入一个本地 HTML 文件,从而导致敏感信息泄露。已通过在链接目标为本地文件时停用列出的快捷菜单选项解决这个问题。

  • WebKit

    CVE-ID:CVE-2009-2816

    适用于:Mac OS X v10.4.11、Mac OS X 服务器 v10.4.11、Mac OS X v10.5.8、Mac OS X 服务器 v10.5.8、Mac OS X v10.6.1 和 v10.6.2、Mac OS X 服务器 v10.6.1 和 v10.6.2、Windows 7、Windows Vista、Windows XP

    影响:访问恶意制作的网站可能会导致其他网站上出现异常操作

    描述:WebKit 的跨源资源共享 (Cross-Origin Resource Sharing) 实现中存在问题。在允许某个源中的页面访问另一个源中的资源前,WebKit 会向后者的服务器发送访问资源的预检请求。WebKit 中包括由预检请求中的请求页面指定的自定义 HTTP 标头。这可能导致出现伪造的跨站点请求。已通过从预检请求中移除自定义 HTTP 标头解决这个问题。报告者:Apple。

  • WebKit

    CVE-ID:CVE-2009-3384

    适用于:Windows 7、Windows Vista、Windows XP

    影响:访问恶意制作的 FTP 服务器可能会导致应用程序意外终止、信息泄露或任意代码执行

    描述:WebKit 在处理 FTP 目录列表时存在多个漏洞。访问恶意制作的 FTP 服务器可能会导致信息泄露、应用程序意外终止或任意代码执行。这一更新通过改进 FTP 目录列表的解析,解决了上述问题。上述问题不会影响 Mac OS X 系统上的 Safari 浏览器。感谢 Google Inc. 的 Michal Zalewski 报告上述问题。

  • WebKit

    CVE-ID:CVE-2009-2841

    适用于:Mac OS X v10.4.11、Mac OS X 服务器 v10.4.11、Mac OS X v10.5.8、Mac OS X 服务器 v10.5.8、Mac OS X v10.6.1 和 v10.6.2、Mac OS X 服务器 v10.6.1 和 v10.6.2

    影响:禁止载入远程图像时“邮件”可能会载入远程音频和视频

    描述:WebKit 在遇到指向外部资源的 HTML 5 媒体元素时,不会发出资源载入回调来确定是否需要载入资源。这可能会导致向远程服务器发出不必要的请求。例如,HTML 格式电子邮件的发件人可能会利用这个漏洞来确定邮件是否已被读取。已通过在 WebKit 遇到 HTML 5 媒体元素时生成资源载入回调解决这个问题。这个问题不会影响 Windows 系统上的 Safari 浏览器。

重要信息:对于并非由 Apple 制造的产品,相关信息仅供参考,不构成 Apple 的推荐或担保。如需了解更多信息,请联系供应商

发布日期: