Acerca del contenido de seguridad de Safari 3.1.1
Resumen
En este documento se describe el contenido de seguridad de Safari 3.1.1, que puede descargarse e instalarse mediante las preferencias de Actualización del software, o desde Descargas de Apple.
Para la protección de nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya realizado una exhaustiva investigación y estén disponibles todas las versiones y actualizaciones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visite el sitio web Seguridad de los productos de Apple.
Para obtener más información sobre la clave PGP de la seguridad de los productos de Apple, consulte "Cómo utilizar la clave PGP de la seguridad de productos de Apple".
Cuando es posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a la hora de obtener más información.
Para obtener información sobre otras las actualizaciones de seguridad, consulte "Actualizaciones de seguridad de Apple".
Productos afectados
Seguridad de los productos, Safari 3.1, Safari 3 (Windows)
Safari 3.1.1
CVE-ID: CVE-2007-2398
Disponible para Windows XP o Vista
Impacto: un sitio web creado con fines malintencionados puede controlar los contenidos de la barra de direcciones
Descripción: un problema de tiempo en Safari 3.1 permite que una página web modifique los contenidos de la barra de direcciones sin cargar los contenidos de la página correspondiente. Esto se puede utilizar para falsear los contenidos de un sitio legítimo, facilitando al usuario las credenciales u otra información para su recopilación. Este problema se resolvió en Safari Beta 3.0.2, pero se restableció con Safari 3.1. Esta actualización ataja el problema restaurando los contenidos de la barra de direcciones si se cumplimenta una solicitud para una nueva página web. Este problema no afecta a los sistemas Mac OS X.
CVE-ID: CVE-2008-1024
Disponible para: Windows XP o Vista
Impacto: la visita a un sitio web creado con fines malintencionados puede provocar la terminación inesperada de la aplicación o la ejecución de un código arbitrario.
Descripción: existe un problema de corrupción de memoria al descargar un archivo de Safari. Un intruso, al incitar a un usuario a descargarse un archivo con un nombre creado con fines malintencionados, puede provocar una terminación inesperada de la aplicación o una ejecución de código arbitrario. Esta actualización soluciona el problema mejorando la gestión de las descargas de archivos. Este problema no afecta a los sistemas Mac OS X.
CVE-ID: CVE-2008-1025
Disponible para Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2, Windows XP o Vista
Impacto: la visita a un sitio web creado con fines malintencionados puede provocar una vulnerabilidad de secuencias de comandos entre sitios cruzados.
Descripción: en WebKit existe un problema con la administración de las URL que contengan el caracter de dos puntos en el nombre del servidor. La apertura de una URL creada con fines malintencionados puede ocasionar un ataque basado en la vulnerabilidad de secuencias de comandos entre sitios cruzados. Esta actualización resuelve el problema mediante la mejora del procesamiento de las direcciones URL. Gracias a Robert Swiecki, del equipo se seguridad de la información de Google, y a David Bloom por informar de este problema.
CVE-ID: CVE-2008-1026
Disponible para Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2, Windows XP o Vista
Impacto: la visualización de una página web creada con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de un código intruso.
Descripción: existe un desbordamiento de memoria dinámica en la administración de las expresiones normales de JavaScript por parte de WebKit. Este problema puede solucionarse por medio de JavaScript al procesar expresiones normales con conteos de repeticiones anidadas. Esto puede provocar·la finalización inesperada de la aplicación o la ejecución de un código arbitrario. En esta actualización resuelve el problema realizando una validación adicional de las expresiones normales de JavaScript. Gracias a Charlie Miller por informar de estos problemas.
Important: Information about products not manufactured by Apple is provided for information purposes only and does not constitute Apple’s recommendation or endorsement. Please contact the vendor for additional information.