关于 Safari 浏览器 3.2 的安全性内容

本文介绍了 Safari 浏览器 3.2 的安全性内容。

为保护我们的客户，在未进行详尽调查并推出必要的修补程序或发布版本之前，Apple 不会公开、讨论或确认安全性问题。要进一步了解 Apple 产品安全性，请参阅“Apple 产品安全性”网站。

如需了解 Apple 产品安全性 PGP 密钥，请参阅“如何使用 Apple 产品安全性 PGP 密钥”。

在可能的情况下，我们会使用 CVE ID 来引用相应的漏洞以提供更多信息。

要了解其他安全性更新，请参阅“Apple 安全性更新”。

Safari 浏览器 3.2

• Safari

  CVE-ID：CVE-2005-2096

  适用于：Windows XP 或 Vista

  影响：zlib 1.2.2 中存在多个漏洞

  描述：zlib 1.2.2 中存在多个漏洞，其中最严重的漏洞可能导致服务遭拒。这一更新通过更新至 zlib 1.2.3，解决了这些问题。这些问题不会影响 Mac OS X 系统。感谢 bioinformatics@school 的 Robbie Joosten 和阿拉巴马大学伯明翰分校的 David Gunnells 报告这些问题。

• Safari

  CVE-ID：CVE-2008-1767

  适用于：Windows XP 或 Vista

  影响：处理 XML 文稿可能会导致应用程序意外终止或任意代码执行

  描述：libxslt 资料库中存在堆缓冲区溢出问题。查看恶意制作的 HTML 页面可能会导致应用程序意外终止或任意代码执行。有关所应用修补程序的更多信息，请访问 http://xmlsoft.org/XSLT/ 这个问题不会影响应用了安全性更新 2008-007 的 Mac OS X 系统。感谢 Outpost24 AB 的 Anthony de Almeida Lopes 和 Google Security Team 的 Chris Evans 报告这个问题。

• Safari

  CVE-ID：CVE-2008-3623

  适用于：Windows XP 或 Vista

  影响：访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行

  描述：CoreGraphics 在处理色彩空间时存在堆缓冲区溢出。查看恶意制作的图像可能会导致应用程序意外终止或任意代码执行。这个更新通过改进边界检查解决了这个问题。报告者：Apple。

• Safari

  CVE-ID：CVE-2008-2327

  适用于：Windows XP 或 Vista

  影响：查看恶意制作的 TIFF 图像可能会导致应用程序意外终止或任意代码执行

  描述：libTIFF 在处理 LZW 编码的 TIFF 图像时存在多个未初始化的内存访问问题。查看恶意制作的 TIFF 图像可能会导致应用软件意外终止或任意代码执行。这一更新通过正确的内存初始化和对 TIFF 图像进行额外验证，解决了这个问题。在运行 Mac OS X v10.5.5 或更高版本的系统中以及应用了安全性更新 2008-006 的 Mac OS X v10.4.11 系统中，这个问题已得到解决。报告者：Apple。

• Safari

  CVE-ID：CVE-2008-2332

  适用于：Windows XP 或 Vista

  影响：查看恶意制作的 TIFF 图像可能会导致应用程序意外终止或任意代码执行

  描述：ImageIO 在处理 TIFF 图像时存在内存损坏问题。查看恶意制作的 TIFF 图像可能会导致应用软件意外终止或任意代码执行。这一更新通过改进 TIFF 图像的处理方式，解决了这个问题。在运行 Mac OS X v10.5.5 或更高版本的系统中以及应用了安全性更新 2008-006 的 Mac OS X v10.4.11 系统中，这个问题已得到解决。感谢 Google Security Team 的 Robert Swiecki 报告这个问题。

• Safari

  CVE-ID：CVE-2008-3608

  适用于：Windows XP 或 Vista

  影响：查看恶意制作的大型 JPEG 图像可能会导致应用程序意外终止或任意代码执行

  描述：ImageIO 在处理 JPEG 图像中内嵌 ICC 描述文件时存在内存损坏问题。查看恶意制作的大型 JPEG 图像可能会导致应用程序意外终止或任意代码执行。这一更新通过改进 ICC 描述文件的处理方式，解决了这个问题。在运行 Mac OS X v10.5.5 或更高版本的系统中以及应用了安全性更新 2008-006 的 Mac OS X v10.4.11 系统中，这个问题已得到解决。报告者：Apple。

• Safari

  CVE-ID：CVE-2008-3642

  适用于：Windows XP 或 Vista

  影响：查看恶意制作的图像可能会导致应用程序意外终止或任意代码执行

  描述：在处理内嵌 ICC 描述文件的图像时存在缓冲区溢出。打开内嵌 ICC 描述文件的恶意制作图像可能会导致应用程序意外终止或任意代码执行。这一更新通过对图像中的 ICC 描述文件进行额外验证，解决了这个问题。这个问题不会影响应用了安全性更新 2008-007 的 Mac OS X 系统。报告者：Apple。

• Safari

  CVE-ID：CVE-2008-3644

  适用于：Mac OS X v10.4.11、Mac OS X v10.5.5、Windows XP 或 Vista

  影响：敏感信息可能会泄露给本地控制台用户

  描述：禁用表单栏的自动填充功能可能不会阻止字段中的数据存储在浏览器页面缓存中。这可能会导致敏感信息泄露给本地用户。这一更新通过正确清除表单数据，解决了这个问题。感谢一位匿名研究人员报告这个问题。

• WebKit

  CVE-ID：CVE-2008-2303

  适用于：Mac OS X v10.4.11、Mac OS X v10.5.5、Windows XP 或 Vista

  影响：访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行

  描述：Safari 浏览器在处理 JavaScript 数组索引时出现的符号问题可能会导致内存访问越界。访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行。这一更新通过对 JavaScript 数组索引进行额外验证解决了这个问题。感谢 Google 的 SkyLined 报告这个问题。

• WebKit

  CVE-ID：CVE-2008-2317

  适用于：Mac OS X v10.4.11、Mac OS X v10.5.5、Windows XP 或 Vista

  影响：访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行

  描述：WebCore 在处理样式表元素时存在内存损坏问题。访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行。这一更新通过改进垃圾收集方法解决了这个问题。感谢一位匿名研究人员与 TippingPoint Zero Day Initiative 合作报告这个问题。

• WebKit

  CVE-ID：CVE-2008-4216

  适用于：Mac OS X v10.4.11、Mac OS X v10.5.5、Windows XP 或 Vista

  影响：访问恶意制作的网站可能会导致敏感信息泄露

  描述：WebKit 的插件界面不会阻止插件启动本地 URL。访问恶意制作的网站可能会使远程攻击者在 Safari 浏览器中启动本地文件，这可能会导致敏感信息的泄露。这一更新通过限制可以通过插件界面启动的 URL 类型，解决了这个问题。感谢 Microsoft 的 Billy Rios 和 Ernst & Young 的 Nitesh Dhanjani 报告这个问题。