Sobre o conteúdo de segurança do Safari 3.1.1

  • Última Modificação: 05 Maio, 2008
  • Artigo: HT1467

Resumo

Este documento descreve o conteúdo de segurança do Safari 3.1.1, que pode ser baixado e instalado por meio das preferências em Atualização de Software ou em Downloads da Apple.

Para fins de proteção de nossos clientes, a Apple não divulga, discute ou confirma problemas de segurança até que uma ampla investigação tenha sido feita e que as correções ou versões necessárias estejam disponíveis. Para saber mais sobre segurança do produto Apple, consulte o site sobre Segurança do produto Apple.

Para obter informações sobre a chave PGP de segurança do produto Apple, consulte Como usar a chave PGP de segurança do produto Apple.

Sempre que possível, serão usadas IDs de CVE para indicar as vulnerabilidades e permitir que o usuário obtenha informações mais detalhadas.

Para saber mais sobre outras atualizações de segurança, consulte "Atualizações de segurança da Apple".

Produtos Afetados

Segurança do Produto, Safari 3.1, Safari 3 (Windows)

Safari 3.1.1

  • Safari
    ID de CVE: CVE-2007-2398
    Disponível para: Windows XP ou Vista
    Impacto: um site projetado com códigos maliciosos pode controlar o conteúdo da barra de endereço
    Descrição: um problema de cronometragem no Safari 3.1 permite que uma página da Web modifique o conteúdo da barra de endereço sem carregar o conteúdo da página correspondente. Isso pode ser usado para redirecionar o conteúdo de um site legítimo, permitindo que as credenciais do usuário ou outras Informações sejam coletadas. Esse problema foi resolvido no Safari Beta 3.0.2, porém retornou no Safari 3.1. Esta atualização soluciona o problema restaurando o conteúdo da barra de endereço caso uma solicitação de uma nova página da Web seja encerrado. Este problema não afeta sistemas Mac OS X.

     

  • Safari
    ID de CVE: CVE-2008-1024
    Disponível para: Windows XP ou Vista
    Impacto: visitar um site projetado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou execução aleatória de códigos
    Descrição: ocorre um problema de corrupção de memória no download de arquivos no Safari. Ao estimular um usuário a fazer download de um arquivo cujo nome foi projetado com códigos maliciosos, o atacante poderá causar o encerramento inesperado do aplicativo ou execução aleatória de códigos. Esta atualização soluciona o problema por meio do tratamento aprimorado dos downloads de arquivos. Este problema não afeta sistemas Mac OS X.

     

  • WebKit
    ID de CVE: CVE-2008-1025
    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2, Windows XP ou Vista
    Impacto: visitar um site projetado com códigos maliciosos pode causar a emissão de scripts entre os sites
    Descrição: ocorre um problema na forma como o WebKit lida com URLs que contêm caractere de dois-pontos no nome do host. Abrir um URL projetado com códigos maliciosos pode causar um ataque de emissão de scripts entre os sites Esta atualização soluciona o problema através da melhoria no tratamento de URLs. Agradecemos Robert Swiecki do Google Information Security Team e David Bloom por reportarem o problema.

     

  • WebKit
    ID de CVE: CVE-2008-1026
    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2, Windows XP ou Vista
    Impacto: visualizar uma página da Web projetada com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução aleatória do código
    Descrição: ocorre uma sobrecarga no buffer de pilha na forma como o WebKit lida com as expressões regulares do Java. Esse problema pode ser causado através do JavaScript durante o processamento de expressões regulares com contagens de repetição grandes e aninhadas. Isso pode causar o encerramento inesperado do aplicativo ou a execução aleatória do código. Esta atualização soluciona o problema executando uma validação adicional das expressões regulares do JavaScript. Agradecemos Charlie Miller por reportar este problema.

Important: Information about products not manufactured by Apple is provided for information purposes only and does not constitute Apple’s recommendation or endorsement. Please contact the vendor for additional information.