關於 Windows 版 Safari 3.1.2 的保安內容

本文件說明 Windows 版 Safari 3.1.2 的保安內容，此內容可以透過「軟件更新」偏好設定或從「Apple 下載」進行下載和安裝。

為保障客戶的安全，在進行完整調查並提供所有必要的修補程式或版本之前，Apple 不會揭露、討論或確認保安問題。如要進一步了解 Apple 產品的保安，請參閱 Apple 產品保安網站。

如需 Apple 產品保安 PGP 金鑰的相關資料，請參閱「如何使用 Apple 產品保安 PGP 金鑰

在可能的情況下，將會使用 CVE ID 來參照保安漏洞，以取得進一步資料。

如要了解其他保安更新，請參閱「Apple 保安更新」。

Windows 版 Safari 3.1.2

Safari

CVE-ID：CVE-2008-1573

適用於：Windows XP 或 Vista

影響：查看惡意製作的 BMP 或 GIF 影像可能導致資訊遭披露。

說明：處理 BMP 和 GIF 影像時可能出現讀取超出界限記憶體的情況，繼而可能導致披露記憶體內容。此更新會對 BMP 和 GIF 影像追加額外驗證程序，以解決此問題。此問題已於執行 Mac OS X 10.5.3 的系統，以及裝有保安更新 2008-003 的 Mac OS X 10.4.11 系統中解決。感謝 Hispasec 的 Gynvael Coldwind 回報此問題。

Safari

CVE-ID：CVE-2008-2540

適用於：Windows XP 或 Vista

影響：將不受信任的檔案儲存至 Windows 桌面可能導致執行任意程式碼。

說明：Windows 桌面處理可執行程式的方法存在問題。將不受信任的檔案儲存至 Windows 桌面可能會觸發問題，繼而導致執行任意程式碼。網絡瀏覽器是將檔案儲存至桌面的一種途徑。為助減輕此問題，Safari 瀏覽器已更新，在儲存下載檔案時會提醒用戶。此外，預設下載位置已更改為用戶的「下載」資料夾 (Windows Vista) 或「文件」資料夾 (Windows XP)。執行 Mac OS X 的系統並無此問題。額外資料載於 http://www.microsoft.com/technet/security/advisory/953818.mspx，感謝 Aviv Raff 回報此問題。

Safari

CVE-ID：CVE-2008-2306

適用於：Windows XP 或 Vista

影響：瀏覽在受信任的 Internet Explorer 區域的惡意網站可能導致自動執行任意程式碼。

說明：如果網站位於 Internet Explorer 7 區域，而「啟動應用程式和不安全的檔案」設定已設為「啟用」，或如何網站位於 Internet Explorer 6「近端內部網路」或「信任的網站」區域，Safari 便會自動執行從此網站下載的可執行檔案。此更新透過不自動執行已下載的可執行檔案，以及在已啟用「總是提示」設定時於用戶下載檔案前提示用戶，以解決此問題。執行 Mac OS X 的系統不存在此問題。感謝 CERT/CC 的 Will Dormann 回報此問題。鳴謝 Microsoft Security Response Center 合作解決此問題。

WebKit

CVE-ID：CVE-2008-2307

適用於：Windows XP 或 Vista

影響：瀏覽惡意製作的網站可能導致 app 無故終止或執行任意程式碼。

說明：WebKit 處理 JavaScript 陣列時，有記憶體損毀問題。瀏覽惡意製作的網站可能導致 app 意外終止或執行任意程式碼。這項更新改進了界限檢查機制，以解決此問題。感謝 James Urquhart 回報此問題。