Safari出現零時差安全漏洞

資安業者Secunia與美國電腦緊急應變中心（US-CERT）相繼於近日揭露蘋果Safari瀏覽器的零時差安全漏洞，該漏洞可能導致使用者的機密資料外洩，或是讓駭客遠端執行任意程式，而且相關攻擊程式已現身。

根據US-CERT的說明，Safari無法正確處理指向Windows物件的參考，即使該物件指向參考仍存在，Safari仍能允許該物件被刪除；假設有一JavaScript程式嘗試使用已被刪除的視窗物件，那麼就會導致無效指標。

US-CERT表示，當使用者以Safari造訪一個HTML文件，不論是網頁、HTML郵件或郵件附檔，駭客都能取得使用者權限而執行任意程式。

Secunia則說，當使用者造訪一個特製的網頁，在Safari自一個子視窗建立一個跳出式對話框時，其處理錯誤讓駭客得以利用該漏洞執行任意程式。Secunia將該漏洞列為高度重大（Highly Critical）等級，僅次於最嚴重的極度重大（Extremely Critical）等級。

US-CERT已確定Windows版的Safari 4.0.5受到該漏洞影響，並表示有可能波及其他版本。不論US-CERT或Secunia皆建議使用者暫時關閉Safari中的JavaScript功能。（編譯/陳曉莉）