เกี่ยวกับเนื้อหาด้านความปลอดภัยของ Safari 3.2

เอกสารฉบับนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ Safari 3.2

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียด และมีแพตช์หรือรายการอัปเดตที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่ความปลอดภัยของผลิตภัณฑ์ Apple ในเว็บไซต์

ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ได้ที่ "วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้

หากต้องการเรียนรู้เกี่ยวกับรายการอัปเดตความปลอดภัยอื่นๆ โปรดดู "รายการอัปเดตความปลอดภัยของ Apple"

Safari 3.2

  • Safari

    CVE-ID: CVE-2005-2096

    มีให้สําหรับ: Windows XP หรือ Vista

    ผลกระทบ: ช่องโหว่หลายจุดใน zlib 1.2.2

    คำอธิบาย: พบช่องโหว่หลายจุดใน zlib 1.2.2 ซึ่งช่องโหว่ที่ร้ายแรงที่สุดอาจนําไปสู่การปฏิเสธการให้บริการ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวด้วยการอัปเดตเป็น zlib 1.2.3 ปัญหาเหล่านี้ไม่ส่งผลกระทบต่อระบบ Mac OS X ขอขอบคุณ Robbie Joosten จาก bioinformatics@school และ David Gunnells จาก University of Alabama ที่ Birmingham ที่รายงานปัญหาเหล่านี้

  • Safari

    CVE-ID: CVE-2008-1767

    มีให้สําหรับ: Windows XP หรือ Vista

    ผลกระทบ: การประมวลผลเอกสาร XML อาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

    คำอธิบาย: พบปัญหาบัฟเฟอร์ล้นแบบพอกพูนในคลัง libxslt การดูเพจ HTML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการใช้โค้ดโดยพลการ ดูข้อมูลเพิ่มเติมเกี่ยวกับแพตช์ที่ใช้ได้ที่ http://xmlsoft.org/XSLT/ ปัญหานี้ไม่ส่งผลกระทบต่อระบบ Mac OS X ที่ใช้รายการอัปเดตความปลอดภัย 2008-007 ขอขอบคุณ Anthony de Almeida Lopes จาก Outpost24 AB และ Chris Evans จาก Google Security Team ที่รายงานปัญหานี้

  • Safari

    CVE-ID: CVE-2008-3623

    มีให้สําหรับ: Windows XP หรือ Vista

    ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

    คำอธิบาย: พบบัฟเฟอร์ล้นแบบพอกพูนใน CoreGraphics เมื่อจัดการกับพื้นที่สี การดูภาพที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ การอัปเดตนี้ช่วยแก้ไขปัญหาดังกล่าวโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น ขอขอบคุณ Apple

  • Safari

    CVE-ID: CVE-2008-2327

    มีให้สําหรับ: Windows XP หรือ Vista

    ผลกระทบ: การดูภาพ TIFF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

    คำอธิบาย: พบ Uninitialized Memory Access หลายปัญหาใน libTIFF เมื่อจัดการกับภาพ TIFF ที่เข้ารหัส LZW ด้วยเหตุนี้การดูภาพ TIFF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการเริ่มต้นหน่วยความจำที่เหมาะสมและการตรวจสอบความถูกต้องของภาพ TIFF เพิ่มเติม ปัญหานี้ได้รับการแก้ไขแล้วในระบบที่ใช้ Mac OS X v10.5.5 หรือใหม่กว่า และในระบบ Mac OS X v10.4.11 ที่ใช้รายการอัปเดตความปลอดภัย 2008-006 ขอขอบคุณ Apple

  • Safari

    CVE-ID: CVE-2008-2332

    มีให้สําหรับ: Windows XP หรือ Vista

    ผลกระทบ: การดูภาพ TIFF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

    คำอธิบาย: พบปัญหาหน่วยความจำเสียหายใน ImageIO เมื่อจัดการกับภาพ TIFF ด้วยเหตุนี้การดูภาพ TIFF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวผ่านการปรับปรุงการประมวลผลภาพ TIFF ให้ดียิ่งขึ้น ปัญหานี้ได้รับการแก้ไขแล้วในระบบที่ใช้ Mac OS X v10.5.5 หรือใหม่กว่า และในระบบ Mac OS X v10.4.11 ที่ใช้รายการอัปเดตความปลอดภัย 2008-006 ขอขอบคุณ Robert Swiecki จาก Google Security Team ที่รายงานปัญหานี้

  • Safari

    CVE-ID: CVE-2008-3608

    มีให้สําหรับ: Windows XP หรือ Vista

    ผลกระทบ: การดูภาพ JPEG ขนาดใหญ่ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

    คำอธิบาย: พบปัญหาหน่วยความจำเสียหายใน ImageIO เมื่อจัดการกับโปรไฟล์ ICC ที่ฝังในภาพ JPEG การดูภาพ JPEG ขนาดใหญ่ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวผ่านการปรับปรุงการประมวลผลโปรไฟล์ ICC ให้ดียิ่งขึ้น ปัญหานี้ได้รับการแก้ไขแล้วในระบบที่ใช้ Mac OS X v10.5.5 หรือใหม่กว่า และในระบบ Mac OS X v10.4.11 ที่ใช้รายการอัปเดตความปลอดภัย 2008-006 ขอขอบคุณ Apple

  • Safari

    CVE-ID: CVE-2008-3642

    มีให้สําหรับ: Windows XP หรือ Vista

    ผลกระทบ: การดูภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

    คำอธิบาย: พบบัฟเฟอร์ล้นเมื่อจัดการกับภาพที่มีการฝังโปรไฟล์ ICC ด้วยเหตุนี้การเปิดภาพที่มีการฝังโปรไฟล์ ICC ซึ่งออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการตรวจสอบความถูกต้องของโปรไฟล์ ICC ในภาพเพิ่มเติม ปัญหานี้ไม่ส่งผลกระทบต่อระบบ Mac OS X ที่ใช้รายการอัปเดตความปลอดภัย 2008-007 ขอขอบคุณ Apple

  • Safari

    CVE-ID: CVE-2008-3644

    มีให้สําหรับ: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP หรือ Vista

    ผลกระทบ: อาจมีการเปิดเผยข้อมูลที่ละเอียดอ่อนแก่ผู้ใช้คอนโซลเฉพาะเครื่อง

    คำอธิบาย: การปิดใช้งานการกรอกข้อมูลอัตโนมัติบนช่องแบบฟอร์มอาจไม่เป็นการป้องกันไม่ให้ช่องเก็บข้อมูลไว้ในแคชของหน้าเบราว์เซอร์ ซึ่งอาจนำไปสู่การเปิดเผยข้อมูลที่ละเอียดอ่อนแก่ผู้ใช้เฉพาะเครื่องได้ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการล้างข้อมูลแบบฟอร์ม ขอขอบคุณนักวิจัยนิรนามที่รายงานปัญหานี้

  • WebKit

    CVE-ID: CVE-2008-2303

    มีให้สําหรับ: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP หรือ Vista

    ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

    คำอธิบาย: ปัญหาสถานะการเซ็นในการจัดการกับดัชนีอาร์เรย์ JavaScript ของ Safari อาจส่งผลให้มีการเข้าถึงหน่วยความจำนอกขอบเขต ด้วยเหตุนี้การเยี่ยมชมเว็บไซต์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการตรวจสอบความถูกต้องของดัชนีอาร์เรย์ JavaScript เพิ่มเติม ขอขอบคุณ SkyLined จาก Google ที่รายงานปัญหานี้

  • WebKit

    CVE-ID: CVE-2008-2317

    มีให้สําหรับ: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP หรือ Vista

    ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

    คำอธิบาย: พบปัญหาหน่วยความจำเสียหายใน WebCore เมื่อจัดการกับองค์ประกอบ Style Sheet ด้วยเหตุนี้การเยี่ยมชมเว็บไซต์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการปรับปรุงการเก็บขยะให้ดียิ่งขึ้น ขอขอบคุณนักวิจัยนิรนามที่ทำงานร่วมกับ TippingPoint Zero Day Initiative ที่รายงานปัญหานี้

  • WebKit

    CVE-ID: CVE-2008-4216

    มีให้สําหรับ: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP หรือ Vista

    ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลที่ละเอียดอ่อน

    คำอธิบาย: อินเทอร์เฟซปลั๊กอินของ WebKit ไม่ได้บล็อกปลั๊กอินจากการเปิด URL ภายในเครื่อง การเยี่ยมชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจอนุญาตให้ผู้โจมตีระยะไกลเปิดไฟล์ภายในเครื่องใน Safari ซึ่งอาจส่งผลให้เกิดการเปิดเผยข้อมูลที่ละเอียดอ่อนได้ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการจำกัดประเภทของ URL ที่สามารถเปิดขึ้นผ่านอินเทอร์เฟซปลั๊กอินได้ ขอขอบคุณ Billy Rios จาก Microsoft และ Nitesh Dhanjani จาก Ernst & Young ที่รายงานปัญหานี้

สำคัญ: การอ้างอิงเว็บไซต์และผลิตภัณฑ์ของบริษัทอื่นมีจุดประสงค์เพื่อให้ข้อมูลเท่านั้น และไม่ได้เป็นการรับรองหรือแนะนำแต่อย่างใด Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของผู้ให้บริการรายอื่น Apple ให้ข้อมูลนี้เพื่อความสะดวกของลูกค้าเท่านั้น Apple ไม่ได้ตรวจสอบข้อมูลที่พบบนเว็บไซต์เหล่านี้ และไม่ได้รับรองความถูกต้องและความเชื่อถือได้ของข้อมูลดังกล่าว การใช้ข้อมูลหรือผลิตภัณฑ์ใดๆ ก็ตามบนอินเทอร์เน็ตมีความเสี่ยง และ Apple ไม่มีส่วนรับผิดชอบในเรื่องนี้ โปรดเข้าใจว่าเว็บไซต์ของบุคคลที่สามดำเนินการอย่างเป็นอิสระจาก Apple และ Apple ไม่ได้ควบคุมเนื้อหาบนเว็บไซต์ดังกล่าว โปรดติดต่อผู้จำหน่ายเพื่อสอบถามข้อมูลเพิ่มเติม

วันที่เผยแพร่: