关于 Safari 浏览器 4.0.3 的安全性内容
本文介绍了 Safari 浏览器 4.0.3 的安全性内容。
为保护我们的客户,在未进行详尽调查并推出必要的修补程序或发布版本之前,Apple 不会公开、讨论或确认安全性问题。要进一步了解 Apple 产品安全性,请参阅“Apple 产品安全性”网站。
如需了解 Apple 产品安全性 PGP 密钥,请参阅“如何使用 Apple 产品安全性 PGP 密钥”。
在可能的情况下,我们会使用 CVE ID 来引用相应的漏洞以提供更多信息。
要了解其他安全性更新,请参阅“Apple 安全性更新”。
Safari 浏览器 4.0.3
CoreGraphics
CVE-ID:CVE-2009-2468
适用于:Windows XP 和 Vista
影响:访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行
描述:绘制长文本字符串时存在堆缓冲区溢出问题。访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行。这个更新通过改进边界检查解决了这个问题。感谢 Google Inc. 的 Will Drewry 报告这个问题。
ImageIO
CVE-ID:CVE-2009-2188
适用于:Windows XP 和 Vista
影响:查看恶意制作的图像可能会导致应用程序意外终止或任意代码执行
描述:处理 EXIF 元数据时存在缓冲区溢出问题。查看恶意制作的图像可能会导致应用程序意外终止或任意代码执行。这个更新通过改进边界检查解决了这个问题。
Safari
CVE-ID:CVE-2009-2196
适用于:Mac OS X v10.4.11、Mac OS X 服务器 v10.4.11、Mac OS X v10.5.7、Mac OS X 服务器 v10.5.7、Mac OS X v10.5.8、Mac OS X 服务器 v10.5.8、Windows XP 和 Vista
影响:恶意制作的网站可能会被提升到 Safari 浏览器的“常用站点”视图中
描述:Safari 浏览器 4 中推出了“常用站点”功能,让用户可以快速一览自己喜爱的网站。恶意网站可能会通过自动执行的操作将任意站点提升到“常用站点”视图中。这可能用于开展网络钓鱼攻击。已通过阻止自动访问网站的操作来影响“常用站点”列表,从而解决了这个问题。只有用户手动访问的网站才能加入到“常用站点”列表中。请注意,Safari 浏览器默认启用欺骗性站点检测。自“常用站点”功能推出以来,欺骗性站点无法显示在“常用站点”视图中。感谢 SecureThoughts.com 的 Inferno 报告这个问题。
WebKit
CVE-ID:CVE-2009-2195
适用于:Mac OS X v10.4.11、Mac OS X 服务器 v10.4.11、Mac OS X v10.5.7、Mac OS X 服务器 v10.5.7、Mac OS X v10.5.8、Mac OS X 服务器 v10.5.8、Windows XP 和 Vista
影响:访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行
描述:WebKit 在解析浮点数时存在缓冲区溢出问题。访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行。这个更新通过改进边界检查解决了这个问题。报告者:Apple。
WebKit
CVE-ID:CVE-2009-2200
适用于:Mac OS X v10.4.11、Mac OS X 服务器 v10.4.11、Mac OS X v10.5.7、Mac OS X 服务器 v10.5.7、Mac OS X v10.5.8、Mac OS X 服务器 v10.5.8、Windows XP 和 Vista
影响:访问恶意制作的网站并在查看恶意插件对话框时点按“前往”可能会导致敏感信息泄露
描述:WebKit 允许“embed”元素的 pluginspage 属性引用文件 URL。如果在引用未知插件类型时出现的对话框中点按“前往”,将被重定向至 pluginspage 属性中列出的 URL。这可能会使远程攻击者在 Safari 浏览器中启动文件 URL,并可能会导致敏感信息泄露。这一更新通过将 pluginspage URL 方案限制为 http 或 https,解决了这个问题。感谢 n.runs AG 的 Alexios Fakos 报告这个问题。
WebKit
CVE-ID:CVE-2009-2199
适用于:Mac OS X v10.4.11、Mac OS X 服务器 v10.4.11、Mac OS X v10.5.7、Mac OS X 服务器 v10.5.7、Mac OS X v10.5.8、Mac OS X 服务器 v10.5.8、Windows XP 和 Vista
影响:URL 中的相似字符或许能够用于伪装网站
描述:Safari 浏览器中嵌入的国际域名 (IDN) 支持和 Unicode 字体或许能够用于创建包含相似字符的 URL。恶意网站中可能会利用这样的 URL,将用户引导到看起来如同合法域名的伪造网站。这一更新通过补充 WebKit 的已知相似字符列表,解决了这个问题。相似字符在地址栏中以 Punycode 呈现。感谢 Casaba Security, LLC 的 Chris Weber 报告这个问题。
重要信息:对于并非由 Apple 制造的产品,相关信息仅供参考,不构成 Apple 的推荐或担保。如需了解更多信息,请联系供应商。