BUGTRAQ ID: 32291
CVE(CAN) ID: CVE-2008-4216,CVE-2008-3644,CVE-2008-3623
Safari是苹果家族机器操作系统中默认捆绑的WEB浏览器。
WebKit的插件接口没有阻止插件启动本地URL,访问恶意站点可能允许远程攻击者在Safari中启动本地文件,导致泄露敏感信息。
禁止自动填充表单字段可能无法防范在浏览器页面缓存中存储字段中的数据,这可能导致向本地用户泄露敏感信息。
CoreGraphics处理颜色空间时存在堆溢出,查看恶意的图形可能导致浏览器意外终止或执行任意代码。
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
<a href=“http://wsidecar.apple.com/cgi-bin/nph-reg3rdpty2.pl/product=22162&cat=1&platform=osx&method=sa/” target=“_blank”>http://wsidecar.apple.com/cgi-bin/nph-reg3rdpty2.pl/product=22162&cat=1&platform=osx&method=sa/</a>
<a href=“http://wsidecar.apple.com/cgi-bin/nph-reg3rdpty2.pl/product=22157&cat=1&platform=osx&method=sa/” target=“_blank”>http://wsidecar.apple.com/cgi-bin/nph-reg3rdpty2.pl/product=22157&cat=1&platform=osx&method=sa/</a>