2009年8月13日木曜日

About the security content of Safari 4.0.3

http://support.apple.com/kb/HT3733

上記 URL の Apple Safari 4.0.3 のセキュリティアップデートの翻訳

1) 長いテキスト文字列を表示する際にヒープオーバーフローが発生することが原因で、悪意を持って細工された Web サイトを訪れた時にアプリケーションが異常終了したり、任意のコードを実行されたりする脆弱性。(CVE-2009-2468)

2) EXIF メタデータの取り扱いの際にバッファオーバーフローが発生することが原因で、悪意を持って細工された画像を表示した時にアプリケーションが異常終了したり、任意のコードを実行されたりする脆弱性。(CVE-2009-2188)

3) Safari 4 は、ユーザのお気に入り Web サイトをチラッと表示する Top Site 機能を提供しています。悪意のある Web サイトが自動転送で Top Site 内に任意の Web サイトを表示することを促進することが可能です。これは、フィッシング攻撃を促進するのに利用されます。この問題は、影響を及ぼす Top Site リストから自動的に Web サイトを訪れることを防ぐことで対処されます。メモとして、Safari は初期値で不正サイトの検出を有効としています。Top Site 機能の紹介なので、不正サイトは、Top Site ページ表示されません。(CVE-2009-2196)

4) WebKit の浮動小数点数字の解析の際にバッファオーバーフローが発生することが原因で、悪意を持って細工された Web サイトを訪れた時にアプリケーションが異常終了したり、任意のコードを実行されたりする脆弱性。(CVE-2009-2195)

5) WebKit は、'embed' エレメントのプラグインページの属性にファイル URL を参照することを許可します。見知らぬプラグインタイプが参照された時に表示するダイアログの "Go" をクリックすると、プラグインページの属性にリストされている URL にリダイレクトします。これはリモートの攻撃者に Safari 内でファイル URL を起動すること許し、貴重な情報の漏洩を導きます。この更新は、プラグイン URL を http か https での表現に制限することでこの問題に対処します。(CVE-2009-2200)

6) Safari での国際ドメイン名 (IDN) サポートと埋め込まれた Unicode フォントは、類似の文字を含む URL を生成するのに用いられます。これは、悪意のある Web サイトにて合法的なドメインであると現れるスプーフィングしたサイトにユーザを向けます。この更新は、知られている類似の文字の WebKit のリストを補完することによってこの問題に対処します。(CVE-2009-2199)

0 件のコメント:

コメントを投稿