Safari 3.1.1 のセキュリティコンテンツについて

この記事では、システム環境設定の「ソフトウェア・アップデート」パネルまたはソフトウェア・アップデートページからダウンロードおよびインストールできる Safari 3.1.1 のセキュリティコンテンツについて説明します。

Apple では、ユーザ保護の観点から、徹底した調査が完了し必要なパッチやリリースが利用可能になるまで、セキュリティの問題に関して公開、説明または承認を行いません。Apple 製品のセキュリティの詳細については、アップル製品のセキュリティを参照してください。

Apple 製品のセキュリティの PGP キー情報については、「Apple Product Security PGP キーの使用方法」を参照してください。

CVE IDs でも、脆弱性に関する詳細な情報を参照できます。

その他のセキュリティアップデートについては、「Apple セキュリティアップデートについて」を参照してください。

この記事はアーカイブ済みで、これ以上更新されることはありません。

Safari 3.1.1

  • Safari
    CVE-ID:CVE-2007-2398
    対象となるバージョン:Windows XP、Vista
    影響:悪意のある Web サイトがアドレスバーの内容をコントロールする可能性があります。
    説明:Safari 3.1 を操作するタイミングによっては、Web サイトを読み込んでいなくてもアドレスバーの内容が変更されます。これを利用して合法的なサイトになりすましたサイトがユーザを信用させたり、情報を収集したりする可能性があります。この問題は、Safari Bata 3.0.2 で対策が講じられましたが、Safari 3.1 で再び出現しました。このアップデートでは、新規の Web サイトの読み込み要求が中断された場合にアドレスバーの内容を復元することで、この問題に対処しています。この問題は Mac OS X システムでは発生しません。

     

  • Safari
    CVE-ID:CVE-2008-1024
    対象となるバージョン:Windows XP、Vista
    影響:悪意のある Web サイトにアクセスすると、アプリケーションが予期せず終了したり、不特定のコードが実行されたりする可能性があります。
    説明:Safari ファイルダウンロード時にメモリの障害が発生します。攻撃者は、悪意を持って作成された名前のダウンロードファイルを開くようにユーザを誘導することで、アプリケーションを予期せず終了させたり、不特定のコードを実行したりする可能性があります。このアップデートでは、ファイル名の処理を改善することによってこの問題に対応しました。この問題は Mac OS X システムでは発生しません。

     

  • WebKit
    CVE-ID:CVE-2008-1025
    対象となるバージョン:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.2、Mac OS X Server v10.5.2、Windows XP、Vista
    影響:悪意のある Web ページにアクセスすると、特定のサイトに書かれているスクリプトが別のサイトへとまたがって実行される(クロスサイトスクリプティング)可能性があります。
    説明:WebKit でホスト名にコロン“:”を含む URL を操作する際に問題が発生します。悪意のある Web サイトにアクセスすると、クロスサイトスクリプティング攻撃を受ける可能性があります。このアップデートでは URL の処理を改善することにより、この問題を解決しました。この問題の報告は、Google Information Security Team の Robert Swiecki 氏および David Bloom 氏の功績によるものです。

     

  • WebKit
    CVE-ID:CVE-2008-1026
    対象となるバージョン:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.2、Mac OS X Server v10.5.2、Windows XP、Vista
    影響:悪意を持って作成された Web サイトにアクセスすると、アプリケーションが予期せず終了したり、不特定のコードが実行されたりする可能性があります。
    説明:WebKit で JavaScript の正規表現を操作すると、バッファオーバフローが多発します。この問題は、大規模でネスト化された反復カウントの正規表現を処理する際に JavaScript によって引き起こされている可能性があります。これによって、アプリケーションが予期せず終了する、または不正なコードが実行される場合があります。このアップデートでは、JavaScript の正規表現の有効性チェックを追加することによってこの問題に対応しました。この問題の報告は、Charlie Miller 氏の功績によるものです。

重要:Apple 以外の他社製品に関する記述は、情報提供のみを目的としており、Apple による支持または推奨を意味するものではありません。詳細については、「ベンダーに関する情報を見つける」を参照してください。

公開日: