關於 Safari 4.0.3 的安全性內容
本文說明 Safari 4.0.3 的安全性內容。
為保障客戶的安全,在進行完整調查並提供所有必要的修補程式或版本之前,Apple 不會揭露、討論或確認安全性問題。若要進一步了解 Apple 產品安全性,請參閱 Apple 產品安全性網站。
如需 Apple 產品安全性 PGP 金鑰的相關資訊,請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。
如有可能,CVE ID 會用來參考安全漏洞,以取得進一步資訊。
若要了解其他安全性更新,請參閱「Apple 安全性更新」。
Safari 4.0.3
CoreGraphics
CVE-ID:CVE-2009-2468
適用於:Windows XP 和 Vista
影響:造訪惡意製作的網站可能導致應用程式意外終止或執行任意程式碼
說明:取得長文字字串時有堆積緩衝區溢位問題。造訪惡意製作的網站可能導致應用程式意外終止或執行任意程式碼。此更新透過改進界限檢查機制來解決此問題。感謝 Google Inc 的 Will Drewry 回報此問題。
ImageIO
CVE-ID:CVE-2009-2188
適用於:Windows XP 和 Vista
影響:觀看惡意製作的影像,可能導致應用程式意外終止或執行任意程式碼
說明:處理 EXIF 後設資料資料時,出現緩衝區溢位。觀看惡意製作的影像可能導致應用程式意外終止或執行任意程式碼。此更新透過改進界限檢查機制來解決此問題。
Safari
CVE-ID:CVE-2009-2196
適用於:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.7、Mac OS X Server v10.5.7、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows XP 和 Vista
影響:惡意製作的網站可能會被提升至 Safari 的「常用網站」檢視中
說明:Safari 4 加入「常用網站」功能,可概覽使用者的喜愛網站。惡意網站可能透過自動操作將任意網站提升至「常用網站」檢視中。這個手法可用於發動網路釣魚攻擊。防止自動造訪網站影響「常用網站」列表後,已解決此問題。只有使用者手動造訪的網站,才能列入「常用網站」列表。請注意,Safari 預設啟用詐騙網站偵測功能。自從加入「常用網站」功能後,詐騙網站就不會再顯示在「常用網站」檢視中。感謝 SecureThoughts.com 的 Inferno 回報此問題。
WebKit
CVE-ID:CVE-2009-2195
適用於:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.7、Mac OS X Server v10.5.7、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows XP 和 Vista
影響:造訪惡意製作的網站可能導致應用程式意外終止或執行任意程式碼
說明:WebKit 在剖析浮點數時,出現緩衝區溢位問題。造訪惡意製作的網站可能導致應用程式意外終止或執行任意程式碼。此更新透過改進界限檢查機制來解決此問題。貢獻者:Apple。
WebKit
CVE-ID:CVE-2009-2200
適用於:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.7、Mac OS X Server v10.5.7、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows XP 和 Vista
影響:造訪惡意製作的網站並在檢視惡意外掛模組對話框時點按「前往」,可能會導致敏感資訊洩露
說明:WebKit 允許「embed」元素的 pluginspage 屬性參考檔案 URL。在參考未知外掛模組類型時出現的對話框中點按「前往」,會重新導向到 pluginspage 屬性中列出的 URL。這可能會允許遠端攻擊者在 Safari 中啟動檔案 URL,並導致敏感資訊洩露。此更新限制 pluginspage URL 架構只能使用 http 或 https 後,已解決此問題。感謝 n.runs AG 的 Alexios Fakos 回報此問題。
WebKit
CVE-ID:CVE-2009-2199
適用於:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.7、Mac OS X Server v10.5.7、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Windows XP 和 Vista
影響:URL 中的相似字元可用於冒充網站
說明:Safari 的國際化網域名稱(IDN)支援功能和內嵌 Unicode 字體,可用於製作包含相似字元的 URL。這些字元可用於惡意網站,將使用者誘導到看似真實網域的偽造網站。此更新補充了 WebKit 的已知相似字元清單,藉此解決問題。地址列中的相似字元會以 Punycode 顯示。感謝 Casaba Security, LLC 的 Chris Weber 回報此問題。
重要事項:非 Apple 製造之產品資訊僅供參考之用,不構成 Apple 之建議或背書。如需其他資訊,請聯絡廠商。