跳至主內容

蘋果 Safari 執行程式碼及繞過保安限制漏洞

最後更新 2011年01月28日 發佈日期: 2009年08月13日 2710 觀看次數

風險: 中度風險

在蘋果 Safari 發現多個漏洞,攻擊者可利用漏洞洩露敏感資料、繞過保安限制、進行阻斷服務或控制受影響的系統。

1. 由於繪畫長字串時 CoreGraphics 會產生堆積滿溢錯誤,攻擊者可利用漏洞終止受影響的瀏覽器或執行任意程式碼。

2. 由於處理 EXIF metadata 時 ImageIO 會產生緩衝區滿溢錯誤,攻擊者可利用漏洞終止受影響的瀏覽器或執行任意程式碼。

3. 由於 Top Sites 特徵產生錯誤,攻擊者可利用漏洞允許惡意網站透過自動化功能在 Top Sites view 中添加任意網站。

4. 由於分析浮點數時 WebKit 會產生緩衝區滿溢錯誤,攻擊者可利用漏洞終止受影響的瀏覽器或執行任意程式碼。

5. 由於處理 "嵌入" 元素中的 pluginspage 屬性時 WebKit 會產生錯誤,遠端攻擊者可利用漏洞在Safari啟動檔案URLs 及導致敏感資料洩露。

6. 在支援國際性域名 (International Domain Name) (IDN) 及萬國碼字型 (Unicode fonts) 中出現錯誤,遠端攻擊者可利用漏洞將網域顯示為正當的網域引導使用者瀏覽偽造網站。


受影響之系統或技術

  • 蘋果 Safari 4.0.3 版本及之前的版本

解決方案

在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。

升級至蘋果 Safari 4.0.3 版本:
http://support.apple.com/downloads/Safari_4


漏洞識別碼


資料來源


相關連結