關於 Safari 4.0.4 的安全性內容

此文件說明了 Safari 4.0.4 的安全性內容。

為保障客戶權益,在進行完整調查並提供所有必要的修補程式或發行版本之前,Apple 不會揭露、討論或確認安全性問題。若要瞭解有關“Apple 產品安全性”的更多資訊,請造訪 Apple 產品安全性網站。

如需有關“Apple 產品安全性 PGP 金鑰”的資訊,請參閱「如何使用 Apple 產品安全性 PGS 金鑰」

如有可能,請使用 CVE ID 參閱有關漏洞的進一步資訊。

若要瞭解其他安全性更新,請參閱「Apple 安全性更新」

Safari 4.0.4

  • ColorSync

    CVE-ID:CVE-2009-2804

    適用於:Windows 7、Vista、XP

    影響:檢視惡意製作且包含內嵌 ColorSync 色彩描述的影像時,可能導致應用程式意外終止或執行任意程式碼

    說明:處理包含內嵌色彩描述的影像時,會發生整數溢位漏洞,進而可能導致堆疊緩衝區溢位問題。開啟惡意製作且包含內嵌 ColorSync 色彩描述的影像時,可能會導致應用程式意外終止或執行任意程式碼。此更新可追加一次色彩描述驗證程序,進而解決這個問題。此問題對 Mac OS X v10.6 系統沒有影響。Mac OS X 10.5.8 系統的 Security Update 2009-005 已經解決此問題。資料來源:Apple。

  • libxml

    CVE-ID:CVE-2009-2414、CVE-2009-2416

    適用於:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Windows 7、Vista、XP

    影響:剖析惡意製作的 XML 內容時,可能導致應用程式意外終止

    說明:libxml2 有多個釋放後使用記憶體出錯(use-after-free)的問題,可能導致應用程式意外終止。此更新可改善記憶體處理機制,進而解決這些問題。Mac OS X 10.6.2 已經解決這些問題,Mac OS X 10.5.8 系統的 Security Update 2009-006 也已經解決這些問題。

  • Safari

    CVE-ID:CVE-2009-2842

    適用於:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.1 與 v10.6.2、Mac OS X Server v10.6.1 與 v10.6.2、Windows 7、Vista、XP

    影響:在惡意製作的網站中使用快速鍵選單選項時,可能導致本機資訊外洩

    說明:使用“以新標籤頁開啟圖片”、“以新視窗開啟圖片”或“以新標籤頁開啟連結”快速鍵選單選項瀏覽網頁時,Safari 處理的方式有問題。在惡意製作的網站中使用這些選項時,可能載入本機的 HTML 檔案,導致敏感資訊外洩。此更新能在連結目標是本機檔案時,停用列出快速鍵選單選項的功能,進而解決這個問題。

  • WebKit

    CVE-ID:CVE-2009-2816

    適用於:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.1 與 v10.6.2、Mac OS X Server v10.6.1 與 v10.6.2、Windows 7、Vista、XP

    影響:造訪惡意製作的網站時,可能導致在其他網站上出現無法預期的動作

    說明:WebKit 執行跨來源資源共享(Cross-Origin Resource Sharing)功能的方式有問題。WebKit 在允許某個來源的網頁存取其他來源的資源以前,會送出執行前要求給後者的伺服器,表示要存取資源。提出要求的網頁會在執行前要求中,指定 WebKit 包含的自定 HTTP 標頭。如此就能發動跨網站偽造要求的攻擊行為。此要求能移除執行前要求中的自定 HTTP 標頭,進而解決這個問題。資料來源:Apple。

  • WebKit

    CVE-ID:CVE-2009-3384

    適用於:Windows 7、Vista、XP

    影響:存取惡意製作的 FTP 伺服器時,可能導致應用程式意外終止、資訊外洩,或執行任意程式碼

    說明:WebKit 處理 FTP 目錄列表的方式有多個漏洞。存取惡意製作的 FTP 伺服器時,可能導致資訊外洩、應用程式意外終止,或執行任意程式碼。此更新改善剖析 FTP 目錄列表的機制,進而解決這些問題。這些問題不會影響 Mac OS X 系統上的 Safari。感謝 Google Inc. 的 Michal Zalewski 回報這些問題。

  • WebKit

    CVE-ID:CVE-2009-2841

    適用於:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.1 與 v10.6.2、Mac OS X Server v10.6.1 與 v10.6.2

    影響:停用載入遠端影像的功能時,Mail 可能載入遠端的音訊和視訊內容

    說明:WebKit 碰到指向外部資源的 HTML 5 媒體元件時,不會發出資源載入回呼(callback),以判斷是否應該載入此資源。這個問題可能導致系統向遠端伺服器送出不良要求。例如 HTML 格式電子郵件的寄件人,就能利用這個漏洞判斷是否有人讀取郵件。此更新能在 WebKit 碰到 HTML 5 媒體元件時產生資源載入回呼,進而解決這個問題。此問題對 Windows 系統上的 Safari 沒有影響。

發佈日期: