關於 Safari 4.0.3 的安全性內容

此文件說明了 Safari 4.0.3 的安全性內容。

為保障客戶權益,在進行完整調查並提供所有必要的修補程式或發行版本之前,Apple 不會揭露、討論或確認安全性問題。若要瞭解有關 Apple 產品安全性的更多資訊,請造訪 Apple 產品安全性網站。

如需有關“Apple 產品安全性 PGP 金鑰”的資訊,請參閱「如何使用 Apple 產品安全性 PGS 金鑰」

如有可能,請使用 CVE ID 參閱有關漏洞的進一步資訊。

若要瞭解其他安全性更新,請參閱「Apple 安全性更新」

Safari 4.0.3

  • CoreGraphics

    CVE-ID:CVE-2009-2468

    適用於:Windows XP 與 Vista

    影響:造訪惡意製作的網站可能導致應用程式意外終止或執行任意程式碼

    說明:繪製很長的字串時,發生堆疊緩衝區溢位問題。造訪惡意製作的網站可能導致應用程式意外終止或執行任意程式碼。此更新可改善界限檢查機制,進而解決這個問題。感謝 Google Inc. 的 Will Drewry 回報此問題。

  • ImageIO

    CVE-ID:CVE-2009-2188

    適用於:Windows XP 與 Vista

    影響:檢視惡意製作的影像時可能導致應用程式意外終止或執行任意程式碼

    說明:處理 EXIF 元資料的方法有緩衝區溢位問題。檢視惡意製作的影像可能導致應用程式意外終止或執行任意程式碼。此更新可改善界限檢查機制,進而解決這個問題。

  • Safari

    CVE-ID:CVE-2009-2196

    適用於:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.7、Mac OS X Server v10.5.7、Windows XP 與 Vista

    影響:惡意製作的網站可能提升到 Safari 的 Top Sites 顯示方式

    說明:Safari 4 推出的 Top Sites 功能讓使用者快速瀏覽最喜歡的網站。惡意網站有可能透過自動機制,把任意網站提升到 Top Sites 的顯示方式中。這項弱點可用於發動網路釣魚的攻擊行為。一旦避免自動造訪網站的行為影響 Top Sites 列表,就能解決這個問題。只有使用者手動造訪的網站,才能加入 Top Sites 列表。附帶一提,Safari 的預設值會啟用詐騙網站偵測功能。自從推出 Top Sites 功能後,Top Sites 顯示方式就不再顯示詐騙網站。感謝 SecureThoughts.com 的 Inferno 回報此問題。

  • WebKit

    CVE-ID:CVE-2009-2195

    適用於:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.7、Mac OS X Server v10.5.7、Windows XP 與 Vista

    影響:造訪惡意製作的網站可能導致應用程式意外終止或執行任意程式碼

    說明︰WebKit 剖析浮點數時,存在緩衝區溢位的問題。造訪惡意製作的網站可能導致應用程式意外終止或執行任意程式碼。此更新可改善界限檢查機制,進而解決這個問題。資料來源:Apple。

  • WebKit

    CVE-ID:CVE-2009-2200

    適用於:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.7、Mac OS X Server v10.5.7、Windows XP 與 Vista

    影響:造訪惡意製作的網站,並在檢視惡意的外掛模組對話框時,只要點按“前往”,就可能導致敏感資訊外洩

    說明:WebKit 能讓“embed”元件的 pluginspage 屬性參考檔案 URL。參考不明的外掛模組類型時會出現對話框。只要在對話框中點按“前往”,就會轉址到 pluginspage 屬性中列出的 URL。這項弱點可能讓遠端攻擊者在 Safari 中啟動檔案 URL,因而導致敏感資訊外洩。此更新能把 pluginspage URL 架構侷限在 http 或 https,進而解決這個問題。感謝 n.runs AG 的 Alexios Fakos 報告此問題。

  • WebKit

    CVE-ID:CVE-2009-2199

    適用於:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.7、Mac OS X Server v10.5.7、Windows XP 與 Vista

    影響:URL 中外表相似的字元可用於冒充網站

    說明:Safari 的 International Domain Name (IDN) 支援功能和內嵌 Unicode 字體,可用於製作包含相似字元的 URL。這些字元可用於惡意網站,將使用者誘導到看似合法網域的假造網站。此更新會補充 WebKit 的已知類似字元列表,進而解決這個問題。系統會在網址列中以 Punycode 對類似字元進行算圖。感謝 Casaba Security, LLC 的 Chris Weber 報告此問題。

發佈日期: