關於 Safari 4.0.4 的安全性內容

本文說明 Safari 4.0.4 的安全性內容。

為保障客戶的安全,在進行完整調查並提供所有必要的修補程式或版本之前,Apple 不會揭露、討論或確認安全性問題。若要進一步了解 Apple 產品安全性,請參閱 Apple 產品安全性網站。

如需 Apple 產品安全性 PGP 金鑰的相關資訊,請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。

如有可能,CVE ID 會用來參考安全漏洞,以取得進一步資訊。

若要了解其他安全性更新,請參閱「Apple 安全性更新」。

Safari 4.0.4

  • ColorSync

    CVE-ID:CVE-2009-2804

    適用於:Windows 7、Vista、XP

    影響:檢視有內嵌色彩描述的惡意製作影像時,可能導致應用程式意外終止或執行任意程式碼

    說明:處理有內嵌色彩描述的影像時出現整數溢位,可能導致堆疊緩衝區溢位。開啟包含內嵌色彩描述之惡意製作的影像,可能導致應用程式意外終止或執行任意程式碼。此更新會執行額外的色彩描述驗證,藉此解決問題。此問題不影響 Mac OS X v10.6 系統。Mac OS X 10.5.8 系統已透過安全性更新 2009-005 解決此問題。貢獻者:Apple。

  • libxml

    CVE-ID:CVE-2009-2414、CVE-2009-2416

    適用於:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Windows 7、Vista、XP

    影響:剖析惡意製作的 XML 內容可能導致應用程式意外終止

    說明:libxml2 中存在多個使用後釋放問題,最嚴重可能導致應用程式意外終止。此更新會提升記憶體處理機制,藉此解決問題。Mac OS X 10.6.2 中的此問題已獲得解決,而 Mac OS X 10.5.8 系統已透過安全性更新 2009-006 解決此問題。

  • Safari

    CVE-ID:CVE-2009-2842

    適用於:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.1 和 v10.6.2、Mac OS X Server v10.6.1 和 v10.6.2, Windows 7、Vista、XP

    影響:在惡意製作的網站中使用快速鍵選單選項,可能導致本機資訊遭揭露

    說明:Safari 在處理透過「在新標籤頁中打開影像」、「在新視窗中打開影像」或「在新視窗中打開連結」等快速鍵選單啟動的瀏覽時出現錯誤。在惡意製作的網站中使用這些選項有可能載入本機 HTML 檔案,進而導致敏感資訊遭揭露。在連結目標為本機檔案的情況下停用上述快速鍵選單選項後,已解決此問題。

  • WebKit

    CVE-ID:CVE-2009-2816

    適用於:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.1 和 v10.6.2、Mac OS X Server v10.6.1 和 v10.6.2, Windows 7、Vista、XP

    影響:造訪惡意製作的網站可能導致在其他網站上出現非預期的動作

    說明:WebKit 在實作跨來源資源共享時存在問題。在允許來自單一來源的頁面存取另一個來源中的資源時,WebKit 會傳送預檢請求至後者的伺服器,以存取資源。WebKit 會在預檢請求中納入所請求網頁指定的自訂 HTTP 標頭。這有可能導致跨網站請求偽造。此更新會移除預檢請求中的自訂 HTTP 標頭後,藉此解決問題。貢獻者:Apple。

  • WebKit

    CVE-ID:CVE-2009-3384

    適用於:Windows 7、Vista, XP

    影響:存取惡意製作的 FTP 伺服器可能導致應用程式意外終止、資訊外洩,或執行任意程式碼

    說明:WebKit 在處理 FTP 目錄列表時存在多個漏洞。存取惡意製作的 FTP 伺服器可能導致資訊外洩、應用程式意外終止,或執行任意程式碼。此更新改善 FTP 目錄列表的剖析後,已解決問題。這些問題不會影響 Mac OS X 上的 Safari。感謝 Google Inc. 的 Michal Zalewski 回報這些問題。

  • WebKit

    CVE-ID:CVE-2009-2841

    適用於:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.1 和 v10.6.2、Mac OS X Server v10.6.1 和 v10.6.2

    影響:停用遠端影像載入時,「郵件」可能會載入遠端音訊和影片內容

    說明:WebKit 遇到指向外部資源的 HTML 5 媒體元素時,不會核發資源載入回呼,以確認是否應載入資源。這可能導致對遠端伺服器做出非預期的請求。舉例來說,HTML 格式電子郵件訊息的寄件人,可使用這個方式判斷訊息是否已遭讀取。此更新會在 WebKit 遇到 HTML 5 媒體元素時產生資源載入回呼,藉此解決問題。這個問題不會影響 Windows 系統上的 Safari。

重要事項:非 Apple 製造之產品資訊僅供參考之用,不構成 Apple 之建議或背書。如需其他資訊,請聯絡廠商

發佈日期: