關於 Windows 版 Safari 3.1.2 的安全性內容

本文說明 Windows 版 Safari 3.1.2 的安全性內容，你可以透過「軟體更新」偏好設定，或是從「Apple 下載項目」下載並安裝。

為保障客戶的安全，在進行完整調查並提供所有必要的修補程式或版本之前，Apple 不會揭露、討論或確認安全性問題。若要進一步了解 Apple 產品安全性，請參閱 Apple 產品安全性網站。

如需 Apple 產品安全性 PGP 金鑰的相關資訊，請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。

如有可能，CVE ID 會用來參考安全漏洞，以取得進一步資訊。

若要了解其他安全性更新，請參閱「Apple 安全性更新」。

Windows 版 Safari 3.1.2

Safari

CVE-ID：CVE-2008-1573

適用於：Windows XP 或 Vista

影響：檢視惡意製作的 BMP 或 GIF 影像可能導致資訊洩漏。

說明：處理 BMP 和 GIF 影像時可能發生讀取超出界限記憶體的情況，進而可能導致揭露記憶體的內容。此更新透過對 BMP 和 GIF 影像執行額外驗證來解決此問題。此問題在執行 Mac OS X 10.5.3 的系統，及安裝了安全性更新 2008-003 的 Mac OS X 10.4.11 的系統中已解決。感謝 Hispasec 的 Gynvael Coldwind 回報此問題。

Safari

CVE-ID：CVE-2008-2540

適用於：Windows XP 或 Vista

影響：將不受信任的檔案儲存至 Windows 桌面可能會導致執行任意程式碼。

說明：Windows 桌面處理可執行程式的方法出現問題。將不受信任的檔案儲存至 Windows 桌面可能會觸發該問題，並導致執行任意程式碼。網頁瀏覽器是將檔案儲存至桌面的一種方式。為協助緩解此問題，Safari 瀏覽器已更新，在儲存已下載檔案前會提示使用者。此外，預設下載位置將更改如後，Windows Vista 的使用者「下載」資料夾，以及 Windows XP 的使用者「文件」資料夾。執行 Mac OS X 的系統不存在這個問題。額外資訊可於 http://www.microsoft.com/technet/security/advisory/953818.mspx 取得，感謝 Aviv Raff 回報此問題。

Safari

CVE-ID：CVE-2008-2306

適用於：Windows XP 或 Vista

影響：參訪位於受信任 Internet Explorer 區域內的惡意網站，可能導致自動執行任意程式碼。

說明：如果網站位於 Internet Explorer 7 區域，且將「啟動應用程式和不安全檔案」設定為「啟用」，或者如果網站位於 Internet Explorer 6「近端內部網路」或「信任的網站」區域，Safari 瀏覽器將自動啟動從該網站下載的可執行檔案。此更新透過不自動啟動已下載的可執行檔案，以及在啟用「永遠提示」設定的情況下，在下載檔案之前提示使用者來解決這個問題。在執行 Mac OS X 的系統上不存在此問題。感謝 CERT/CC 的 Will Dormann 回報此問題。鳴謝 Microsoft Security Response Center 合作解決此問題。

WebKit

CVE-ID：CVE-2008-2307

適用於：Windows XP 或 Vista

影響：參訪惡意製作的網站可能導致應用程式意外終止或執行任意程式碼。

說明：WebKit 處理 JavaScript 陣列時，出現記憶體損毀問題。參訪惡意製作的網站可能導致應用程式意外終止或執行任意程式碼。此更新透過改進界限檢查機制來解決此問題。感謝 James Urquhart 回報此一問題。