关于 Safari 浏览器 5.0.2 和 Safari 浏览器 4.1.2 的安全性内容

本文介绍了 Safari 浏览器 5.0.2 和 Safari 浏览器 4.1.2 的安全性内容。

为保护我们的客户，在未进行详尽调查并推出必要的修补程序或发布版本之前，Apple 不会公开、讨论或确认安全性问题。要进一步了解 Apple 产品安全性，请参阅“Apple 产品安全性”网站。

如需了解 Apple 产品安全性 PGP 密钥，请参阅“如何使用 Apple 产品安全性 PGP 密钥”。

在可能的情况下，我们会使用 CVE ID 来引用相应的漏洞以提供更多信息。

要了解其他安全性更新，请参阅“Apple 安全性更新”。

Safari 浏览器 5.0.2 和 Safari 浏览器 4.1.2

• Safari

  CVE-ID：CVE-2010-1805

  适用于：Windows 7、Vista、XP SP2 或更高版本

  影响：对于可由其他用户写入数据的目录，打开其中的文件可能会导致任意代码执行

  描述：Safari 浏览器中存在搜索路径问题。在显示已下载文件所在的位置时，Safari 浏览器会启动 Windows 资源管理器而不指定可执行文件的完整路径。如果通过从特定目录中打开文件的方式启动 Safari 浏览器，相应目录将会包含在搜索路径中。如果尝试显示已下载文件所在的位置，可能会执行相应目录中包含的应用程序，从而可能会导致任意代码执行。已通过在启动 Windows 资源管理器时使用显式搜索路径解决这个问题。这个问题不会影响 Mac OS X 系统。感谢 ACROS Security 的 Simon Raner 报告这个问题。

• WebKit

  CVE-ID：CVE-2010-1807

  适用于：Mac OS X v10.4.11、Mac OS X 服务器 v10.4.11、Mac OS X v10.5.8、Mac OS X 服务器 v10.5.8、Mac OS X v10.6.2 或更高版本、Mac OS X 服务器 v10.6.2 或更高版本、Windows 7、Vista、XP SP2 或更高版本

  影响：访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行

  描述：WebKit 在处理浮点数据类型时存在输入验证问题。访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行。已通过改进对浮点值的验证解决这个问题。感谢 Mozilla 的 Luke Wagner 报告这个问题。

• WebKit

  CVE-ID：CVE-2010-1806

  适用于：Mac OS X v10.4.11、Mac OS X 服务器 v10.4.11、Mac OS X v10.5.8、Mac OS X 服务器 v10.5.8、Mac OS X v10.6.2 或更高版本、Mac OS X 服务器 v10.6.2 或更高版本、Windows 7、Vista、XP SP2 或更高版本

  影响：访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行

  描述：WebKit 在处理 run-in 样式的元素时存在“释放后使用”问题。访问恶意制作的网站可能会导致应用程序意外终止或任意代码执行。已通过改进对对象指针的处理解决这个问题。感谢 team509 的 wushi 与 TippingPoint 的 Zero Day Initiative 合作报告这个问题。