關於 Safari 3.2 的安全性內容
本文說明 Safari 3.2 的安全性內容。
為保障客戶的安全,在進行完整調查並提供所有必要的修補程式或版本之前,Apple 不會揭露、討論或確認安全性問題。若要進一步了解 Apple 產品安全性,請參閱 Apple 產品安全性網站。
如需 Apple 產品安全性 PGP 金鑰的相關資訊,請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。
如有可能,CVE ID 會用來參考安全漏洞,以取得進一步資訊。
若要了解其他安全性更新,請參閱「Apple 安全性更新」。
Safari 3.2
Safari
CVE-ID:CVE-2005-2096
適用於:Windows XP 或 Vista
影響:zlib 1.2.2 有多個漏洞
說明:zlib 1.2.2 存在多個漏洞,最嚴重的漏洞可能導致阻斷服務。此更新透過更新至 zlib 1.2.3 來解決此問題。這些問題不影響 Mac OS X 系統。感謝 bioinformatics@school 的 Robbie Joosten 和 University of Alabama at Birmingham 的 David Gunnells 回報這些問題。
Safari
CVE-ID:CVE-2008-1767
適用於:Windows XP 或 Vista
影響:處理 XML 文件可能導致應用程式意外終止或執行任意程式碼
說明:libxslt 資料庫出現堆疊緩衝區溢位問題。影響:檢視惡意製作的 HTML 頁面時,可能導致應用程式意外終止或執行任意程式碼。如需所套用修補程式的更多資訊,請造訪 http://xmlsoft.org/XSLT/ 此問題不影響已套用安全性更新 2008-007 的 Mac OS X 系統。感謝 Outpost24 AB 的 Anthony de Almeida Lopes 和 Google 安全團隊的 Chris Evans 回報此問題。
Safari
CVE-ID:CVE-2008-3623
適用於:Windows XP 或 Vista
影響:造訪惡意製作的網站可能導致應用程式意外終止或執行任意程式碼
說明:CoreGraphics 處理色彩空間時出現堆疊緩衝區溢位。檢視惡意製作的影像可能導致應用程式意外終止或執行任意程式碼。此更新透過改進界限檢查機制來解決此問題。貢獻者:Apple。
Safari
CVE-ID:CVE-2008-2327
適用於:Windows XP 或 Vista
影響:檢視惡意製作的 TIFF 影像可能導致應用程式意外終止或執行任意程式碼
說明:libTIFF 處理 LZW 編碼的 TIFF 影像時,出現多個未初始化的記憶體存取問題。檢視惡意製作的 TIFF 影像可能導致應用程式意外終止或執行任意程式碼。此更新透過正確的記憶體初始化和 TIFF 影像的額外驗證,已解決問題。此問題已在執行 Mac OS X v10.5.5 或以上版本的系統,以及套用安全性更新 2008-006 的 Mac OS X v10.4.11 系統中解決。貢獻者:Apple。
Safari
CVE-ID:CVE-2008-2332
適用於:Windows XP 或 Vista
影響:檢視惡意製作的 TIFF 影像可能導致應用程式意外終止或執行任意程式碼
說明:ImageIO 處理 TIFF 影像時出現記憶體損毀問題。檢視惡意製作的 TIFF 影像可能導致應用程式意外終止或執行任意程式碼。此更新透過改進 TIFF 影像的處理程序,已解決問題。此問題已在執行 Mac OS X v10.5.5 或以上版本的系統,以及套用安全性更新 2008-006 的 Mac OS X v10.4.11 系統中解決。感謝 Google 安全團隊的 Robert Swiecki 回報此問題。
Safari
CVE-ID:CVE-2008-3608
適用於:Windows XP 或 Vista
影響:檢視惡意製作的大型 JPEG 影像可能導致應用程式意外終止或執行任意程式碼
說明:ImageIO 處理 JPEG 影像中的嵌入式 ICC 描述檔時,出現記憶體損毀問題。檢視惡意製作的大型 JPEG 檔案可能導致應用程式意外終止或執行任意程式碼。此更新透過改進 ICC 描述檔的處理程序,已解決問題。此問題已在執行 Mac OS X v10.5.5 或以上版本的系統,以及套用安全性更新 2008-006 的 Mac OS X v10.4.11 系統中解決。貢獻者:Apple。
Safari
CVE-ID:CVE-2008-3642
適用於:Windows XP 或 Vista
影響:檢視惡意製作的影像可能導致應用程式意外終止或執行任意程式碼
說明:處理嵌入式 ICC 描述檔的影像時出現緩衝區溢位。開啟包含嵌入式 ICC 描述檔的惡意製作影像時,可能導致應用程式意外終止或執行任意程式碼。此更新透過對影像執行 ICC 描述檔的額外驗證,已解決此問題。此問題不影響已經套用安全性更新 2008-007 的 Mac OS X 系統。貢獻者:Apple。
Safari
CVE-ID:CVE-2008-3644
適用於:Mac OS X v10.4.11、Mac OS X v10.5.5、Windows XP 或 Vista
影響:敏感資訊可能外洩給本機系統監視程式使用者
說明:停用表單欄位上的自動完成功能,可能無法防止欄位中的資料儲存在瀏覽器網頁快取中。這可能導致敏感資訊洩露給本機使用者。此更新透過正確清除表單資料,已解決此問題。感謝匿名研究員回報此問題。
WebKit
CVE-ID:CVE-2008-2303
適用於:Mac OS X v10.4.11、Mac OS X v10.5.5、Windows XP 或 Vista
影響:造訪惡意製作的網站可能導致應用程式意外終止或執行任意程式碼
說明:Safari 處理 JavaScript 陣列索引時的正負號的問題,可能導致超出界限的記憶體存取。造訪惡意製作的網站可能導致應用程式意外終止或執行任意程式碼。此更新透過對 JavaScript 陣列索引執行額外驗證來解決此問題。感謝 Google 的 SkyLined 回報此問題。
WebKit
CVE-ID:CVE-2008-2317
適用於:Mac OS X v10.4.11、Mac OS X v10.5.5、Windows XP 或 Vista
影響:造訪惡意製作的網站可能導致應用程式意外終止或執行任意程式碼
說明:WebCore 處理樣式表元素時出現記憶體損毀問題。造訪惡意製作的網站可能導致應用程式意外終止或執行任意程式碼。此更新透過改善資源回收機制來解決此問題。感謝匿名研究員與 TippingPoint 的 Zero Day Initiative 計劃合作回報此問題。
WebKit
CVE-ID:CVE-2008-4216
適用於:Mac OS X v10.4.11、Mac OS X v10.5.5、Windows XP 或 Vista
影響:造訪惡意製作的網站可能導致敏感資訊外洩
說明:WebKit 的外掛模組介面不會阻擋外掛模組啟動本機 URL。造訪惡意製作的網站可能會允許遠端攻擊者在 Safari 中啟動本機檔案,從而導致敏感資訊外洩。此更新透過限制可能透過外掛模組介面啟動的 URL 類型,已解決此問題。感謝 Microsoft 的 Billy Rios 和 Ernst & Young 的 Nitesh Dhanjani 回報此問題。
重要事項:本文提及的第三方網站與產品資訊僅供參考之用,且不構成背書或建議。對於第三方網站或產品的選擇、效能或使用,Apple 不負任何責任。前述內容僅為方便 Apple 使用者而提供。Apple 尚未測試這些網站上的資訊,對其準確性或可靠性未為任何聲明。使用網際網路上找到的任何資訊或產品有其風險,Apple 不負任何責任。請了解第三方網站與 Apple 各自獨立,Apple 對於該網站的內容不具有控制權。如需其他資訊,請聯絡廠商。