Giới thiệu về nội dung bảo mật của Safari 3.2.3.

Tài liệu này mô tả nội dung bảo mật của Safari 3.2.3.

Nhằm bảo vệ khách hàng, Apple không tiết lộ, thảo luận hay xác nhận các vấn đề về bảo mật chừng nào chưa điều tra triệt để cũng như chưa có các bản vá hoặc bản phát hành cần thiết. Để tìm hiểu thêm về việc Bảo mật sản phẩm Apple, hãy truy cập trang web Bảo mật sản phẩm Apple.

Để tìm hiểu thông tin về Khóa PGP Bảo mật sản phẩm Apple, hãy xem bài viết "Cách sử dụng Khóa PGP Bảo mật sản phẩm Apple".

Nếu có thể, hãy tham chiếu các lỗ hổng bảo mật theo Mã số định danh lỗ hổng bảo mật (Common Vulnerabilities and Exposures ID, CVE-ID) để biết thêm thông tin.

Để tìm hiểu về các Bản cập nhật bảo mật khác, hãy xem bài viết "Bản cập nhật bảo mật của Apple".

Safari 3.2.3

• libxml

  CVE-ID: CVE-2008-3529

  Phạm vi áp dụng: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP hoặc Vista

  Tác động: Hành động truy cập trang web được tạo với dụng ý xấu có thể dẫn đến việc thực thi mã tùy ý hoặc làm ứng dụng đột ngột dừng hoạt động

  Mô tả: Lỗi tràn bộ nhớ đệm trên vùng nhớ khối xếp tồn tại trong quá trình libxml xử lý tên thực thể dài. Hành động truy cập trang web được tạo với dụng ý xấu có thể dẫn đến việc thực thi mã tùy ý hoặc làm ứng dụng đột ngột dừng hoạt động. Bản cập nhật này giải quyết sự cố thông qua việc nâng cao hiệu quả kiểm tra biên. Safari 3.2.3 có trong bản cập nhật Mac OS X v10.5.7. Safari 3.2.3 trên Mac OS X yêu cầu Mac OS X v10.5.7 hoặc Mac OS X v10.4.11 đã cài đặt Bản cập nhật bảo mật 2009-002.

• Safari

  CVE-ID: CVE-2009-0162

  Phạm vi áp dụng: Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP hoặc Vista

  Tác động: Hành động truy cập URL "feed:" được tạo với dụng ý xấu có thể dẫn đến việc thực thi mã tùy ý

  Mô tả: Nhiều vấn đề xác thực dữ liệu đầu vào tồn tại trong quá trình Safari xử lý các URL "feed:". Hành động truy cập URL "feed:" được tạo với dụng ý xấu có thể dẫn đến việc thực thi JavaScript tùy ý. Bản cập nhật này giải quyết sự cố bằng cách tiến hành xác thực bổ sung đối với các URL "feed:". Những vấn đề này không ảnh hưởng đến các hệ thống có trước Mac OS X v10.5. Safari 3.2.3 có trong bản cập nhật Mac OS X v10.5.7. Cảm ơn Billy Rios thuộc Nhóm nghiên cứu lỗ hổng bảo mật của Microsoft (Microsoft Vulnerability Research, MSVR) và Alfredo Melloni đã báo cáo các vấn đề này.

• WebKit

  CVE-ID: CVE-2009-0945

  Phạm vi áp dụng: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP hoặc Vista

  Tác động: Hành động truy cập trang web được tạo với dụng ý xấu có thể dẫn đến việc thực thi mã tùy ý

  Mô tả: Sự cố hỏng bộ nhớ tồn tại trong quá trình WebKit xử lý các đối tượng SVGList. Hành động truy cập trang web được tạo với dụng ý xấu có thể dẫn đến việc thực thi mã tùy ý. Bản cập nhật này giải quyết sự cố thông qua việc nâng cao hiệu quả kiểm tra biên. Safari 3.2.3 có trong bản cập nhật Mac OS X v10.5.7. Safari 3.2.3 trên Mac OS X yêu cầu Mac OS X v10.5.7 hoặc Mac OS X v10.4.11 đã cài đặt Bản cập nhật bảo mật 2009-002. Cảm ơn Nils (đang hợp tác với Zero Day Initiative của TippingPoint) đã báo cáo sự cố này.