Safari 4.0.3
-
CoreGraphics
CVE-ID:CVE-2009-2468
適用於:Windows XP 與 Vista
影響:造訪惡意製作的網站可能導致應用程式意外終止或執行任意程式碼
說明:繪製很長的字串時,發生堆疊緩衝區溢位問題。造訪惡意製作的網站可能導致應用程式意外終止或執行任意程式碼。此更新可改善界限檢查機制,進而解決這個問題。感謝 Google Inc. 的 Will Drewry 回報此問題。
-
ImageIO
CVE-ID:CVE-2009-2188
適用於:Windows XP 與 Vista
影響:檢視惡意製作的影像時可能導致應用程式意外終止或執行任意程式碼
說明:處理 EXIF 元資料的方法有緩衝區溢位問題。檢視惡意製作的影像可能導致應用程式意外終止或執行任意程式碼。此更新可改善界限檢查機制,進而解決這個問題。
-
Safari
CVE-ID:CVE-2009-2196
適用於:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.7、Mac OS X Server v10.5.7、Windows XP 與 Vista
影響:惡意製作的網站可能提升到 Safari 的 Top Sites 顯示方式
說明:Safari 4 推出的 Top Sites 功能讓使用者快速瀏覽最喜歡的網站。惡意網站有可能透過自動機制,把任意網站提升到 Top Sites 的顯示方式中。這項弱點可用於發動網路釣魚的攻擊行為。一旦避免自動造訪網站的行為影響 Top Sites 列表,就能解決這個問題。只有使用者手動造訪的網站,才能加入 Top Sites 列表。附帶一提,Safari 的預設值會啟用詐騙網站偵測功能。自從推出 Top Sites 功能後,Top Sites 顯示方式就不再顯示詐騙網站。感謝 SecureThoughts.com 的 Inferno 回報此問題。
-
WebKit
CVE-ID:CVE-2009-2195
適用於:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.7、Mac OS X Server v10.5.7、Windows XP 與 Vista
影響:造訪惡意製作的網站可能導致應用程式意外終止或執行任意程式碼
說明︰WebKit 剖析浮點數時,存在緩衝區溢位的問題。造訪惡意製作的網站可能導致應用程式意外終止或執行任意程式碼。此更新可改善界限檢查機制,進而解決這個問題。資料來源:Apple。
-
WebKit
CVE-ID:CVE-2009-2200
適用於:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.7、Mac OS X Server v10.5.7、Windows XP 與 Vista
影響:造訪惡意製作的網站,並在檢視惡意的外掛模組對話框時,只要點按“前往”,就可能導致敏感資訊外洩
說明:WebKit 能讓“embed”元件的 pluginspage 屬性參考檔案 URL。參考不明的外掛模組類型時會出現對話框。只要在對話框中點按“前往”,就會轉址到 pluginspage 屬性中列出的 URL。這項弱點可能讓遠端攻擊者在 Safari 中啟動檔案 URL,因而導致敏感資訊外洩。此更新能把 pluginspage URL 架構侷限在 http 或 https,進而解決這個問題。感謝 n.runs AG 的 Alexios Fakos 報告此問題。
-
WebKit
CVE-ID:CVE-2009-2199
適用於:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.7、Mac OS X Server v10.5.7、Windows XP 與 Vista
影響:URL 中外表相似的字元可用於冒充網站
說明:Safari 的 International Domain Name (IDN) 支援功能和內嵌 Unicode 字體,可用於製作包含相似字元的 URL。這些字元可用於惡意網站,將使用者誘導到看似合法網域的假造網站。此更新會補充 WebKit 的已知類似字元列表,進而解決這個問題。系統會在網址列中以 Punycode 對類似字元進行算圖。感謝 Casaba Security, LLC 的 Chris Weber 報告此問題。