跳至主內容

蘋果 Safari 多個漏洞

最後更新 2011年01月28日 發佈日期: 2009年11月13日 2715 觀看次數

風險: 中度風險

在蘋果 Safari 發現多個漏洞,攻擊者可利用漏洞洩露敏感資料、繞過保安限制、導致阻斷服務或控制受影響的系統。

1. 由於處理含有異常 color profile 的影像時 ColorSync 會產生整數滿溢錯誤,攻擊者可利用漏洞終止受影響的瀏覽器或執行任意程式碼。

2. 由於 libxml 產生錯誤,攻擊者可利用漏洞導致阻斷服務或執行任意程式碼。

3. 由於處理經由"以新分頁開啟圖像"、"以新視窗開啟圖像"或"以新分頁開啟連結"的捷徑清單選項所開啟的導覽會產生錯誤,允許攻擊者透過惡意網站載入本機的 HTML 檔案,並洩露敏感資料。

4. 由於在跨域資源分享 (Cross-Origin Resource Sharing) 的 WebKit's implementation 產生錯誤,攻擊者可利用漏洞進行跨網站偽裝請求攻擊 (cross-site request forgery attacks)。

5. 由於處理 FTP 目錄列表時產生錯誤,攻擊者可透過引誘使用者連接惡意的 FTP 伺服器,利用漏洞洩露某些資料、終止受影響的瀏覽器或執行任意程式碼。

6. 由於 WebKit 沒有發於資源載入回呼 (resource load callback) 來決定一個被 HTML 5 Media Element 指定的資源應否被載入,導致向遠端伺服器發出不希望得到的請求。(例如;HTML電郵的寄件者可以利用漏洞去決定訊息有否被讀取。)


受影響之系統或技術

  • 蘋果 Safari 4.0.4 之前的版版本

解決方案

在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。

升級至蘋果 Safari 4.0.4 版本:
http://support.apple.com/downloads/Safari_4


漏洞識別碼


資料來源