本文章已经归档,因此 Apple 将不再对其进行更新。

关于 Safari 浏览器 5.0.1 和 Safari 浏览器 4.1.1 的安全性内容

这篇文稿介绍了 Safari 浏览器 5.0.1 和 Safari 浏览器 4.1.1 的安全性内容。

为保护我们的客户,在未进行详尽调查并推出必要的修补程序或发布版本之前,Apple 不会公开、讨论或确认安全性问题。要进一步了解 Apple 产品安全性,请参阅“Apple 产品安全性”网站。

如需了解 Apple 产品安全性 PGP 密钥,请参阅“如何使用 Apple 产品安全性 PGP 密钥”。

在可能的情况下,我们会使用 CVE ID 来引用相应的漏洞以提供更多信息。

要了解其他安全性更新,请参阅“Apple 安全性更新”。

Safari 浏览器 5.0.1 和 Safari 浏览器 4.1.1

  • Safari

    • CVE-ID:CVE-2010-1778

    • 适用于:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2 或更高版本、Mac OS X Server v10.6.2 或更高版本、Windows 7、Vista、XP SP2 或更高版本

    • 影响:访问恶意制作的 RSS 源可能会导致用户系统中的文件被发送给远程服务器

    • 描述:Safari 浏览器在处理 RSS 源时存在跨站点脚本问题。访问恶意制作的 RSS 源可能会导致用户系统中的文件被发送给远程服务器。已通过改进对 RSS 源的处理来解决这个问题。感谢 Google Security Team 的 Billy Rios 报告这个问题。

  • Safari

    • CVE-ID:CVE-2010-1796

    • 适用于:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2 或更高版本、Mac OS X Server v10.6.2 或更高版本、Windows 7、Vista、XP SP2 或更高版本

    • 影响:Safari 浏览器的“自动填充”功能可能会在无用户交互的情况下向网站披露信息

    • 描述:Safari 浏览器的“自动填充”功能可以使用 Mac OS X 地址簿、Outlook 或 Windows 地址簿中的指定信息自动填写网页表单。从设计上来说,需要借助用户操作才能在网页表单中进行“自动填充”。但是由于存在实现问题,导致恶意制作的网站能够在无用户交互的情况下触发“自动填充”。这可能会导致泄露用户地址簿名片中包含的信息。只有在满足以下两个条件时才会触发这个问题。第一,在 Safari 浏览器“偏好设置”中的“自动填充”下,必须已选中“使用‘地址簿’名片中的信息自动填充 Web 表单”复选框。第二,用户的“地址簿”中必须有一张名片被指定为“我的名片”。“自动填充”只会访问这张特定卡片中的信息。已通过禁止“自动填充”在无用户操作的情况下使用信息来解决这个问题。运行 iOS 的设备不受影响。感谢 WhiteHat Security 的 Jeremiah Grossman 报告这个问题。

  • WebKit

    • CVE-ID:CVE-2010-1780

    • 适用于:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2 或更高版本、Mac OS X Server v10.6.2 或更高版本、Windows 7、Vista、XP SP2 或更高版本

    • 影响:访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行

    • 描述:WebKit 在处理元素焦点时存在“释放后使用”问题。访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行。已通过改进对元素焦点的处理来解决这个问题。感谢 Google, Inc. 的 Tony Chang 报告这个问题。

  • WebKit

    • CVE-ID:CVE-2010-1782

    • 适用于:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2 或更高版本、Mac OS X Server v10.6.2 或更高版本、Windows 7、Vista、XP SP2 或更高版本

    • 影响:访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行

    • 描述:WebKit 在渲染内联元素时存在内存损坏问题。访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行。已通过改进边界检查解决这个问题。感谢 team509 的 wushi 报告这个问题。

  • WebKit

    • CVE-ID:CVE-2010-1783

    • 适用于:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2 或更高版本、Mac OS X Server v10.6.2 或更高版本、Windows 7、Vista、XP SP2 或更高版本

    • 影响:访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行

    • 描述:WebKit 在处理对文本节点的动态修改时存在内存损坏问题。访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行。已通过改进内存管理解决这个问题。

  • WebKit

    • CVE-ID:CVE-2010-1784

    • 适用于:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2 或更高版本、Mac OS X Server v10.6.2 或更高版本、Windows 7、Vista、XP SP2 或更高版本

    • 影响:访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行

    • 描述:WebKit 在处理 CSS 计数器时存在内存损坏问题。访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行。已通过改进内存管理解决这个问题。感谢 team509 的 wushi 与 TippingPoint 的 Zero Day Initiative 合作报告这个问题。

  • WebKit

    • CVE-ID:CVE-2010-1785

    • 适用于:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2 或更高版本、Mac OS X Server v10.6.2 或更高版本、Windows 7、Vista、XP SP2 或更高版本

    • 影响:访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行

    • 描述:WebKit 在处理 SVG 文本元素中的 :first-letter 和 :first-line 伪元素时存在未初始化内存访问问题。访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行。已通过不渲染 SVG 文本元素中的 :first-letter 或 :first-line 伪元素来解决这个问题。感谢 team509 的 wushi 与 TippingPoint 的 Zero Day Initiative 合作报告这个问题。

  • WebKit

    • CVE-ID:CVE-2010-1786

    • 适用于:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2 或更高版本、Mac OS X Server v10.6.2 或更高版本、Windows 7、Vista、XP SP2 或更高版本

    • 影响:访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行

    • 描述:WebKit 在处理 SVG 文稿中的 foreignObject 元素时存在“释放后使用”问题。访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行。已通过对 SVG 文稿进行额外验证来解决这个问题。感谢 team509 的 wushi 与 TippingPoint 的 Zero Day Initiative 合作报告这个问题。

  • WebKit

    • CVE-ID:CVE-2010-1787

    • 适用于:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2 或更高版本、Mac OS X Server v10.6.2 或更高版本、Windows 7、Vista、XP SP2 或更高版本

    • 影响:访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行

    • 描述:WebKit 在处理 SVG 文稿中的浮动元素时存在内存损坏问题。访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行。已通过改进内存管理解决这个问题。感谢 team509 的 wushi 与 TippingPoint 的 Zero Day Initiative 合作报告这个问题。

  • WebKit

    • CVE-ID:CVE-2010-1788

    • 适用于:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2 或更高版本、Mac OS X Server v10.6.2 或更高版本、Windows 7、Vista、XP SP2 或更高版本

    • 影响:访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行

    • 描述:WebKit 在处理 SVG 文稿中的“use”元素时存在内存损坏问题。访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行。已通过改进对 SVG 文稿中“use”元素的处理来解决这个问题。感谢 Google, Inc. 的 Justin Schuh 报告这个问题。

  • WebKit

    • CVE-ID:CVE-2010-1789

    • 适用于:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2 或更高版本、Mac OS X Server v10.6.2 或更高版本、Windows 7、Vista、XP SP2 或更高版本

    • 影响:访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行

    • 描述:WebKit 在处理 JavaScript 字符串对象时存在堆缓冲区溢出问题。访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行。已通过改进边界检查解决这个问题。报告者:Apple。

  • WebKit

    • CVE-ID:CVE-2010-1790

    • 适用于:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2 或更高版本、Mac OS X Server v10.6.2 或更高版本、Windows 7、Vista、XP SP2 或更高版本

    • 影响:访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行

    • 描述:WebKit 在处理即时编译的 JavaScript Stub 时存在重入问题。访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行。已通过改进同步解决这个问题。

  • WebKit

    • CVE-ID:CVE-2010-1791

    • 适用于:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2 或更高版本、Mac OS X Server v10.6.2 或更高版本、Windows 7、Vista、XP SP2 或更高版本

    • 影响:访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行

    • 描述:WebKit 在处理 JavaScript 数组时存在符号问题。访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行。已通过改进对 JavaScript 数组索引的处理来解决这个问题。感谢 Natalie Silvanovich 报告这个问题。

  • WebKit

    • CVE-ID:CVE-2010-1792

    • 适用于:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2 或更高版本、Mac OS X Server v10.6.2 或更高版本、Windows 7、Vista、XP SP2 或更高版本

    • 影响:访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行

    • 描述:WebKit 在处理正则表达式时存在内存损坏问题。访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行。已通过改进对正则表达式的处理来解决这个问题。感谢 University of Szeged 的 Peter Varga 报告这个问题。

  • WebKit

    • CVE-ID:CVE-2010-1793

    • 适用于:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2 或更高版本、Mac OS X Server v10.6.2 或更高版本、Windows 7、Vista、XP SP2 或更高版本

    • 影响:访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行

    • 描述:WebKit 在处理 SVG 文稿中的“font-face”和“use”元素时存在“释放后使用”问题。访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行。已通过改进对 SVG 文稿中“font-face”和“use”元素的处理来解决这个问题。感谢 OUSPG 的 Aki Helin 报告这个问题。

重要信息:提及的第三方网站和产品仅作参考,并不代表 Apple 的认可或推荐。Apple 对于第三方网站上所提供信息或产品的选择、性能或使用概不负责。Apple 提供这些网站只是为了方便用户。Apple 尚未测试这些网站上的信息,对信息的准确性或可靠性不作任何声明。使用互联网上的任何信息或产品均有一定风险,Apple 对于这些风险不承担任何责任。敬请理解:第三方网站与 Apple 互相独立,Apple 无法控制第三方网站上的内容。如需了解更多信息,请联系供应商

发布日期: