关于 Safari 4.0.4 的安全性内容

本文介绍 Safari 4.0.4 的安全性内容。

为保护我们的客户,在未进行详尽调查并推出必要的修补程序或发行版之前,Apple 不会公开、讨论或确认安全性问题。要了解有关 Apple 产品安全性的更多信息,请访问 Apple 产品安全性网站。

有关 Apple 产品安全性 PGP 密钥的信息,请参阅“如何使用 Apple 产品安全性 PGP 密钥”。

如果可能,请使用 CVE ID 来查阅漏洞的详细信息。

要了解有关其他安全性更新的信息,请参阅“Apple 安全性更新”。

Safari 4.0.4

  • ColorSync

    CVE-ID:CVE-2009-2804

    适用于:Windows 7、Windows Vista、Windows XP

    影响:查看内嵌色彩描述文件的恶意制作图像可能会导致应用程序意外终止或任意代码执行

    说明:在处理内嵌色彩描述文件的图像时存在整数溢出问题,该问题可能会导致堆缓冲区溢出。打开内嵌色彩描述文件的恶意制作图像可能会导致应用程序意外终止或任意代码执行。此问题已通过执行色彩描述文件的额外验证得到解决。此问题并不影响 Mac OS X v10.6 系统。在针对 Mac OS X 10.5.8 系统的 Security Update 2009-005 中已解决了此问题。参与人员:Apple。

  • libxml

    CVE-ID:CVE-2009-2414、CVE-2009-2416

    适用于: Mac OS X v10.4.11、Mac OS X Server v10.4.11、Windows 7、Windows Vista、Windows XP

    影响:解析恶意制作的 XML 内容可能会导致应用程序意外终止

    说明:libxml2 中存在多个“释放后使用”问题,其中最严重的可能会导致应用程序意外终止。此更新通过改进内存处理解决了该问题。在 Mac OS X 10.6.2 和针对 Mac OS X 10.5.8 系统的 Security Update 2009-006 中已解决了此问题。

  • Safari

    CVE-ID:CVE-2009-2842

    适用于:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.1 和 v10.6.2、Mac OS X Server v10.6.1 和 v10.6.2、Windows 7、Windows Vista、Windows XP

    影响:在恶意制作的网站中使用快捷菜单选项可能导致本机信息泄露

    说明:Safari 在处理通过“在新标签中打开图像”、“在新窗口中打开图像”或“在新标签中打开链接”快捷菜单选项启动的导航时存在问题。在恶意制作的网站中使用这些选项可能会加载一个本地 HTML 文件,从而导致敏感信息泄露。此问题已通过在链接目标为本地文件时停用列出的快捷菜单选项得到解决。

  • WebKit

    CVE-ID:CVE-2009-2816

    适用于:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.1 和 v10.6.2、Mac OS X Server v10.6.1 和 v10.6.2、Windows 7、Windows Vista、Windows XP

    影响:访问恶意制作的网站可能会导致其他网站上出现异常操作

    说明:WebKit 的跨域资源共享 (Cross-Origin Resource Sharing) 实现中存在问题。在允许某个域中的页面访问另一个域中的资源前,WebKit 会向后者的服务器发送访问资源的 preflight 请求。WebKit 包括由 preflight 请求中请求页面指定的自定 HTTP 标头。这可能导致伪造的跨站点请求。此问题已通过从 preflight 请求中删除自定 HTTP 标头得到解决。参与人员:Apple。

  • WebKit

    CVE-ID:CVE-2009-3384

    适用于:Windows 7、Windows Vista、Windows XP

    影响:访问恶意制作的 FTP 服务器可能会导致应用程序意外终止、信息泄露或任意代码执行

    说明:WebKit 处理 FTP 目录列表时存在多个漏洞。访问恶意制作的 FTP 服务器可能导致信息泄露、应用程序意外终止或任意代码执行。此更新通过提高 FTP 列表目录的解析能力解决了该问题。上述问题并不影响 Mac OS X 系统上的 Safari。感谢 Google Inc. 的 Michal Zalewski 报告上述问题。

  • WebKit

    CVE-ID:CVE-2009-2841

    适用于:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.1 和 v10.6.2、Mac OS X Server v10.6.1 和 v10.6.2

    影响:远程图像无法加载时 Mail 可能会加载远程音频和视频

    说明:WebKit 在遇到指向外部资源的 HTML 5 媒体元素时,不会发出资源加载回呼来判断是否需要加载资源。这可能会导致对远程服务器发出不必要的请求。例如,HTML 格式电子邮件信息的发件人可能会利用此漏洞判断邮件是否已被读取。此问题已通过在 WebKit 遇到 HTML 5 媒体元素时生成资源加载回呼得到解决。此问题不影响 Windows 系统上的 Safari。

发布日期: