Safari 3 Beta Update 3.0.3 のセキュリティコンテンツについて

This article has been archived and is no longer updated by Apple.

この記事では、環境設定の「ソフトウェア・アップデート」パネルまたは ソフトウェアアップデート からダウンロードおよびインストールできる Safari 3 Beta Update 3.0.3 のセキュリティコンテンツについて説明します。

ユーザを保護するために、Apple はセキュリティの問題に関して、完全に調査を完了して必要なパッチやリリースが利用可能になるまでは、セキュリティ上の問題についての公開、説明、確認を行いません。Apple 製品のセキュリティの詳細については、Web サイト「Apple 製品のセキュリティ」を参照してください。

Apple Product Security PGP キーの詳細については、「Apple Product Security PGP キーの使用方法」を参照してください。

脆弱性の詳細については、CVE ID を参照してください。

その他のセキュリティアップデートについては、「Apple セキュリティアップデートについて」を参照してください。
 

Safari 3 Beta Update 3.0.3

  • Safari
    CVE-ID:CVE-2007-3743
    対象システム:Windows XP または Vista
    影響:ブックマークを追加すると、アプリケーションが予期せず終了する、または不正なコードが実行される。

    説明:Safari のブックマーク処理には、スタックバッファのオーバーフローに関連する脆弱性が存在します。非常に長いタイトルのブックマークをユーザに追加させることにより、予期しないアプリケーションの終了や不正なコードの実行などの原因となる問題が引き起こされる場合があります。このアップデートでは、適切な境界チェックを実行することによってこの問題に対応しました。この問題は、Mac OS X システムには影響しません。
  • WebKit
    CVE-ID:CVE-2007-2408
    対象システム:Mac OS X v10.4.9 以降、Windows XP または Vista
    影響:悪意的な Web サイトを表示すると、Java が無効になっている場合でも Java アプレットがロードおよび実行される。

    説明:Safari の環境設定には「Java を有効にする」設定があり、これを選択解除すると Java アプレットはロードされません。デフォルトでは、Java アプレットのロードが許可されています。しかし悪意的な Web サイトを表示すると、この設定がオフになっていても Java アプレットがロードされる場合があります。このアップデートでは、「Java を有効にする」設定のチェック機能を強化することによってこの問題に対応しました。この問題の報告は、Scott Wilde 氏の功績によるものです。
  • WebKit
    CVE-ID:CVE-2007-3742
    対象システム:Mac OS X v10.4.9 以降、Windows XP または Vista
    影響:偽装 Web サイトの URL に偽装文字が使われる。

    説明:Safari に組み込まれた国際ドメイン名 (IDN:International Domain Name) サポートおよび Unicode フォントが、似たような文字を含む URL に悪用される場合があります。これが悪意的な Web サイトへの転送に利用され、ユーザが、本物のドメインと視覚上似ている別のサイトにアクセスしてしまうことがあります。このアップデートでは、ドメイン名の有効性チェック機能を強化することによってこの問題に対応しました。
  • WebKit
    CVE-ID:CVE-2007-3944
    対象システム:Mac OS X v10.4.9 以降、Windows XP または Vista
    影響:悪意的な Web サイトを表示すると、不正なコードが実行される。

    説明:Safari の JavaScript エンジンに使われている PCRE (Perl Compatible Regular Expressions) ライブラリでは、ヒープバッファのオーバーフローが発生します。悪意的な Web サイトにユーザが誘導されると、この問題が発生し、不正なコードが実行される原因になる場合があります。このアップデートでは、JavaScript の正規表現の有効性チェックを追加することによってこの問題に対応しました。この問題の報告は、Independent Security Evaluators の Charlie Miller 氏および Jake Honoroff 氏の功績によるものです。

Published Date: 2016/10/10