เกี่ยวกับเนื้อหาด้านความปลอดภัยของ Safari 3.1.2 สำหรับ Windows

เอกสารนี้อธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ Safari 3.1.2 สําหรับ Windows ซึ่งสามารถดาวน์โหลดและติดตั้งผ่านการตั้งค่ารายการอัปเดตซอฟต์แวร์ หรือจากรายการดาวน์โหลดของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย พูดคุย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบอย่างเต็มรูปแบบ และมีแพตช์หรือรายการเปิดตัวที่จำเป็นพร้อมให้ใช้งาน หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่การรักษาความปลอดภัยของผลิตภัณฑ์ Apple ในเว็บไซต์

ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ที่ "วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้

ดูเกี่ยวกับรายการอัปเดตความปลอดภัยอื่นๆ ได้ที่ "รายการอัปเดตความปลอดภัยของ Apple"

Safari 3.1.2 สำหรับ Windows

Safari

CVE-ID: CVE-2008-1573

พร้อมให้ใช้งานสําหรับ: Windows XP หรือ Vista

ผลกระทบ: การดูภาพ BMP หรือ GIF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจนําไปสู่การเปิดเผยข้อมูล

คําอธิบาย: อาจเกิดการอ่านหน่วยความจําที่อยู่นอกขอบเขตในการจัดการภาพ BMP และ GIF ซึ่งอาจนําไปสู่การเปิดเผยเนื้อหาในหน่วยความจํา รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการดําเนินการตรวจสอบภาพ BMP และ GIF เพิ่มเติม ปัญหานี้ได้รับการแก้ไขแล้วในระบบที่ใช้ Mac OS X 10.5.3 และใน Mac OS X 10.4.11 ที่มีรายการอัปเดตความปลอดภัย 2008-003 ขอขอบคุณ Gynvael Coldwind จาก Hispasec สําหรับการรายงานปัญหานี้

Safari

CVE-ID: CVE-2008-2540

พร้อมให้ใช้งานสําหรับ: Windows XP หรือ Vista

ผลกระทบ: การบันทึกไฟล์ที่ไม่น่าเชื่อถือลงในเดสก์ท็อป Windows อาจนำไปสู่การรันโค้ดโดยพลการ

คําอธิบาย: มีปัญหาในวิธีการที่เดสก์ท็อป Windows จัดการกับไฟล์ปฏิบัติการ การบันทึกไฟล์ที่ไม่น่าเชื่อถือลงในเดสก์ท็อป Windows อาจทำให้เกิดปัญหา และนำไปสู่การรันโค้ดโดยพลการ เว็บเบราว์เซอร์เป็นวิธีการที่ไฟล์อาจถูกบันทึกลงในเดสก์ท็อป เพื่อช่วยบรรเทาปัญหานี้ จึงมีการอัปเดตเบราว์เซอร์ Safari เพื่อแจ้งให้ผู้ใช้ทราบก่อนที่จะบันทึกไฟล์ดาวน์โหลด นอกจากนี้ ตําแหน่งการดาวน์โหลดเริ่มต้นจะเปลี่ยนเป็นโฟลเดอร์ Downloads ของผู้ใช้บน Windows Vista และโฟลเดอร์ Documents ของผู้ใช้บน Windows XP ปัญหานี้ไม่มีอยู่ในระบบที่ใช้ Mac OS X ดูข้อมูลเพิ่มเติมได้จาก http://www.microsoft.com/technet/security/advisory/953818.mspx และขอขอบคุณ Aviv Raff ที่รายงานปัญหานี้

Safari

CVE-ID: CVE-2008-2306

พร้อมให้ใช้งานสําหรับ: Windows XP หรือ Vista

ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่เป็นอันตรายซึ่งอยู่ในโซน Internet Explorer ที่เชื่อถือได้อาจนําไปสู่การรันโค้ดโดยพลการโดยอัตโนมัติ

คําอธิบาย: หากเว็บไซต์อยู่ในโซน Internet Explorer 7 โดยตั้งค่า "Launching applications and unsafe files" (การเปิดแอปพลิเคชันและไฟล์ที่ไม่ปลอดภัย) เป็น "Enable" (เปิดใช้งาน) หรือหากเว็บไซต์อยู่ในโซน Internet Explorer 6 "Local intranet" (อินทราเน็ตในเครื่อง) หรือ "Trusted sites" (ไซต์ที่เชื่อถือได้) Safari จะเปิดไฟล์ปฏิบัติการที่ดาวน์โหลดจากเว็บไซต์ดังกล่าวโดยอัตโนมัติ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการไม่เปิดไฟล์ปฏิบัติการที่ดาวน์โหลดมาโดยอัตโนมัติ และโดยการแจ้งให้ผู้ใช้ทราบก่อนดาวน์โหลดไฟล์หากเปิดใช้งานการตั้งค่า "แจ้งเสมอ" ไว้ ปัญหานี้ไม่มีอยู่ในระบบที่ใช้ Mac OS X ขอขอบคุณ Will Dormann จาก CERT/CC สําหรับการรายงานปัญหานี้ ขอแสดงความขอบคุณไปยัง Microsoft Security Response Center สําหรับความพยายามร่วมกันเพื่อแก้ไขปัญหานี้

WebKit

CVE-ID: CVE-2008-2307

พร้อมให้ใช้งานสําหรับ: Windows XP หรือ Vista

ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการจัดการอาร์เรย์ JavaScript ของ WebKit การไปเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น ขอขอบคุณ James Urquhart สำหรับการรายงานปัญหานี้