关于 Safari 浏览器 9.0.3 的安全性内容

本文介绍了 Safari 浏览器 9.0.3 的安全性内容

为保护我们的客户，在未进行详尽调查并推出必要的修补程序或发布版本之前，Apple 不会公开、讨论或确认安全性问题。要进一步了解 Apple 产品安全性，请参阅“Apple 产品安全性”网站。

如需了解 Apple 产品安全性 PGP 密钥，请参阅“如何使用 Apple 产品安全性 PGP 密钥”。

在可能的情况下，我们会使用 CVE ID 来引用相应的漏洞以提供更多信息。

要了解其他安全性更新，请参阅“Apple 安全性更新”。

Safari 浏览器 4.0.5

• ColorSync

  CVE-ID：CVE-2010-0040

  适用于：Windows 7、Windows Vista、Windows XP

  影响：查看内嵌色彩描述文件的恶意制作图像可能会导致应用程序意外终止或任意代码执行

  描述：处理内嵌色彩描述文件的图像时存在可能会导致堆缓冲区溢出的整数溢出。打开内嵌色彩描述文件的恶意制作图像可能会导致应用程序意外终止或任意代码执行。已通过对色彩描述文件进行额外验证解决这个问题。这个问题不会影响 Mac OS X 系统。感谢 VUPEN Vulnerability Research Team 的 Sebastien Renaud 报告这个问题。

• ImageIO

  CVE-ID：CVE-2009-2285

  适用于：Windows 7、Windows Vista、Windows XP

  影响：查看恶意制作的 TIFF 图像可能会导致应用程序意外终止或任意代码执行

  描述：ImageIO 在处理 TIFF 图像时存在缓冲区下溢。查看恶意制作的 TIFF 图像可能会导致应用软件意外终止或任意代码执行。已通过改进边界检查解决这个问题。对于 Mac OS X v10.6 系统，这个问题已在 Mac OS X v10.6.2 中得到解决。对于 Mac OS X v10.5 系统，这个问题已在“安全性更新 2010-001”中得到解决。

• ImageIO

  CVE-ID：CVE-2010-0041

  适用于：Windows 7、Windows Vista、Windows XP

  影响：访问恶意制作的网站可能会导致数据从 Safari 浏览器的内存发送到这个网站

  描述：ImageIO 在处理 BMP 图像时存在未初始化的内存访问问题。访问恶意制作的网站可能会导致数据从 Safari 浏览器的内存发送到这个网站。已通过改进内存处理和对 BMP 图像进行额外验证解决这个问题。感谢 Hispasec 的 Matthew 'j00ru' Jurczyk 报告这个问题。

• ImageIO

  CVE-ID：CVE-2010-0042

  适用于：Windows 7、Windows Vista、Windows XP

  影响：访问恶意制作的网站可能会导致数据从 Safari 浏览器的内存发送到这个网站

  描述：ImageIO 在处理 TIFF 图像时存在未初始化的内存访问问题。访问恶意制作的网站可能会导致数据从 Safari 浏览器的内存发送到这个网站。已通过改进内存处理和对 TIFF 图像进行额外验证解决这个问题。感谢 Hispasec 的 Matthew 'j00ru' Jurczyk 报告这个问题。

• ImageIO

  CVE-ID：CVE-2010-0043

  适用于：Windows 7、Windows Vista、Windows XP

  影响：处理恶意制作的 TIFF 图像可能会导致应用程序意外终止或任意代码执行

  描述：处理 TIFF 图像时存在内存损坏问题。处理恶意制作的 TIFF 图像可能会导致应用程序意外终止或任意代码执行。已通过改进内存处理解决这个问题。感谢 Flying Meat 的 Gus Mueller 报告这个问题。

• PubSub

  CVE-ID：CVE-2010-0044

  适用于：Mac OS X v10.4.11、Mac OS X 服务器 v10.4.11、Mac OS X v10.5.8、Mac OS X 服务器 v10.5.8、Mac OS X v10.6.1 或更高版本、Mac OS X 服务器 v10.6.1 或更高版本、Windows 7、Windows Vista、Windows XP

  影响：访问或更新提要可能会导致 Cookie 被设置，即使 Safari 浏览器已配置为阻止 Cookie

  描述：处理由 RSS 和 Atom 提要设置的 Cookie 时存在实现问题。访问或更新提要可能会导致 Cookie 被设置，即使已通过“接受 Cookie”偏好设置将 Safari 浏览器配置为阻止 Cookie。这一更新通过在更新或查看提要时遵循偏好设置，解决了这个问题。

• Safari

  CVE-ID：CVE-2010-0045

  适用于：Windows 7、Windows Vista、Windows XP

  影响：访问恶意制作的网站可能会导致任意代码执行

  描述：Safari 浏览器在处理外部 URL 方案时存在问题，可能会导致本地文件为响应网页上出现的 URL 而打开。访问恶意制作的网站可能会导致任意代码执行。这一更新通过改进外部 URL 验证，解决了这个问题。这个问题不会影响 Mac OS X 系统。感谢 Billy Rios 和 Microsoft Vulnerability Research (MSVR) 报告这个问题。

• WebKit

  CVE-ID：CVE-2010-0046

  适用于：Mac OS X v10.4.11、Mac OS X 服务器 v10.4.11、Mac OS X v10.5.8、Mac OS X 服务器 v10.5.8、Mac OS X v10.6.1 或更高版本、Mac OS X 服务器 v10.6.1 或更高版本、Windows 7、Windows Vista、Windows XP

  影响：访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行

  描述：WebKit 在处理 CSS format() 参数时存在内存损坏问题。访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行。已通过改进对 CSS format() 参数的处理解决这个问题。感谢 Google Inc. 的 Robert Swiecki 报告这个问题。

• WebKit

  CVE-ID：CVE-2010-0047

  适用于：Mac OS X v10.4.11、Mac OS X 服务器 v10.4.11、Mac OS X v10.5.8、Mac OS X 服务器 v10.5.8、Mac OS X v10.6.1 或更高版本、Mac OS X 服务器 v10.6.1 或更高版本、Windows 7、Windows Vista、Windows XP

  影响：访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行

  描述：处理 HTML 对象元素的后备内容时存在“释放后使用”问题。访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行。已通过改进内存引用跟踪解决这个问题。感谢与 TippingPoint 的 Zero Day Initiative 合作的 team509 的 wushi 报告这个问题。

• WebKit

  CVE-ID：CVE-2010-0048

  适用于：Mac OS X v10.4.11、Mac OS X 服务器 v10.4.11、Mac OS X v10.5.8、Mac OS X 服务器 v10.5.8、Mac OS X v10.6.1 或更高版本、Mac OS X 服务器 v10.6.1 或更高版本、Windows 7、Windows Vista、Windows XP

  影响：访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行

  描述：WebKit 在解析 XML 文稿时存在“释放后使用”问题。访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行。已通过改进内存引用跟踪解决这个问题。感谢与 TippingPoint 的 Zero Day Initiative 合作的 team509 的 wushi 报告这个问题。

• Webkit

  CVE-ID：CVE-2010-0049

  适用于：Mac OS X v10.4.11、Mac OS X 服务器 v10.4.11、Mac OS X v10.5.8、Mac OS X 服务器 v10.5.8、Mac OS X v10.6.1 或更高版本、Mac OS X 服务器 v10.6.1 或更高版本、 Windows 7、Windows Vista、Windows XP

  影响：访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行

  描述：处理包含从右到左显示文本的 HTML 元素时存在“释放后使用”问题。访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行。已通过改进内存引用跟踪解决这个问题。感谢 team509 的 wushi 与 TippingPoint 的 Zero Day Initiative 合作报告这个问题。

• WebKit

  CVE-ID：CVE-2010-0050

  适用于：Mac OS X v10.4.11、Mac OS X 服务器 v10.4.11、Mac OS X v10.5.8、Mac OS X 服务器 v10.5.8、Mac OS X v10.6.1 或更高版本、Mac OS X 服务器 v10.6.1 或更高版本、Windows 7、Windows Vista、Windows XP

  影响：访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行

  描述：WebKit 在处理嵌套不正确的 HTML 标记时存在“释放后使用”问题。访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行。已通过改进内存引用跟踪解决这个问题。感谢 team509 的 wushi 与 TippingPoint 的 Zero Day Initiative 合作报告这个问题。

• WebKit

  CVE-ID：CVE-2010-0051

  适用于：Mac OS X v10.4.11、Mac OS X 服务器 v10.4.11、Mac OS X v10.5.8、Mac OS X 服务器 v10.5.8、Mac OS X v10.6.1 或更高版本、Mac OS X 服务器 v10.6.1 或更高版本、 Windows 7、Windows Vista、Windows XP

  影响：访问恶意制作的网站可能会导致敏感信息泄露

  描述：WebKit 在处理跨源样式表请求时存在实现问题。访问恶意制作的网站可能会泄漏其他网站上受保护的资源内容。这一更新通过对跨源请求期间载入的样式表进行额外验证，解决了这个问题。

• WebKit

  CVE-ID：CVE-2010-0052

  适用于：Mac OS X v10.4.11、Mac OS X 服务器 v10.4.11、Mac OS X v10.5.8、Mac OS X 服务器 v10.5.8、Mac OS X v10.6.1 或更高版本、Mac OS X 服务器 v10.6.1 或更高版本、Windows 7、Windows Vista、Windows XP

  影响：访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行

  描述：WebKit 在处理 HTML 元素的回调时存在“释放后使用”问题。访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行。已通过改进内存引用跟踪解决这个问题。报告者：Apple。

• WebKit

  CVE-ID：CVE-2010-0053

  适用于：Mac OS X v10.4.11、Mac OS X 服务器 v10.4.11、Mac OS X v10.5.8、Mac OS X 服务器 v10.5.8、Mac OS X v10.6.1 或更高版本、Mac OS X 服务器 v10.6.1 或更高版本、Windows 7、Windows Vista、Windows XP

  影响：访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行

  描述：渲染 CSS 显示属性设置为“接排”的内容时存在“释放后使用”问题。访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行。已通过改进内存引用跟踪解决这个问题。感谢 team509 的 wushi 与 TippingPoint 的 Zero Day Initiative 合作报告这个问题。

• WebKit

  CVE-ID：CVE-2010-0054

  适用于：Mac OS X v10.4.11、Mac OS X 服务器 v10.4.11、Mac OS X v10.5.8、Mac OS X 服务器 v10.5.8、Mac OS X v10.6.1 或更高版本、Mac OS X 服务器 v10.6.1 或更高版本、Windows 7、Windows Vista、Windows XP

  影响：访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行

  描述：WebKit 在处理 HTML 图像元素时存在“释放后使用”问题。访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行。已通过改进内存引用跟踪解决这个问题。报告者：Apple。