Acerca dos conteúdos de segurança do Safari 3.1.1
Resumo
Este documento descreve o conteúdo de segurança do Safari 3.1.1, que pode ser descarregado e instalado através das preferências da Actualização de Software ou a partir dos Downloads Apple.
Para protecção dos nossos clientes, a Apple não divulga, discute ou confirma questões de segurança até ter sido efectuada uma investigação completa e estarem disponíveis quaisquer patches ou versões necessárias. Para obter mais informações sobre a segurança dos produtos Apple, consulte o website Segurança dos produtos Apple.
Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte "Como utilizar a chave PGP de segurança dos produtos Apple."
Sempre que possível, são utilizadas ID CVE para referenciar as vulnerabilidades e dar mais informações.
Para obter mais informações sobre outras actualizações de segurança, consulte "Actualizações de segurança Apple."
Produtos afectados
Segurança de produtos, Safari 3.1, Safari 3 (Windows)
Safari 3.1.1
ID CVE: CVE-2007-2398
Disponível para: Windows XP ou Vista
Impacto: Um Website criado maliciosamente pode controlar o conteúdo da barra de endereços
Descrição: Um problema de temporização no Safari 3.1 permite a uma Web Page alterar o conteúdo da barra de endereços sem carregar o conteúdo da página correspondente. Isto pode ser utilizado para simular o conteúdo de um site legítimo, permitindo a recolha de credenciais do utilizador ou outras informações. Esta questão foi resolvida no Safari Beta 3.0.2, mas foi reintroduzida no Safari 3.1. Esta actualização resolve o problema restaurando o conteúdo da barra de endereços se for terminado o pedido de nova Web Page. Este problema não afecta os sistemas Mac OS X.
ID CVE: CVE-2008-1024
Disponível para: Windows XP ou Vista
Impacto: Visitar um Web site criado maliciosamente poderá causar o fim inesperado da aplicação ou a execução de código arbitrário.
Descrição: Existe um problema de corrupção de memória no descarregamento de ficheiros pelo Safari. Ao induzir um utilizador a descarregar um ficheiro com um nome criado maliciosamente, um atacante poderá causar o fim inesperado da aplicação ou a execução de código arbitrário. Esta actualização resolve o problema através do processamento melhorado de descarregamentos de ficheiros. Este problema não afecta os sistemas Mac OS X.
ID CVE: CVE-2008-1025
Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2, Windows XP ou Vista
Impacto: Visitar um Web site malicioso poderá resultar em cross-site scripting.
Descrição: Existe um problema na forma como o WebKit trata URL com o carácter "dois pontos" no nome do servidor. Abrir um URL criado maliciosamente pode levar a um ataque de cross-site scripting. Esta actualização resolve o problema através do processamento melhorado de URL. Os nossos agradecimentos a Robert Swiecki da Google Information Security Team e David Bloom por comunicarem este problema.
ID CVE: CVE-2008-1026
Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2, Windows XP ou Vista
Impacto: Visualizar uma Web Page criada maliciosamente pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário.
Descrição: Existe uma sobrecarga de buffer heap na forma como o WebKit trata as expressões regulares do JavaScript. Este problema pode ser despoletado pelo JavaScript ao processar expressões regulares com contagens de repetições extensas e inseridas. Isto poderá causar o fim inesperado da aplicação ou a execução de código arbitrário. Esta actualização resolve o problema ao efectuar a validação adicional das expressões regulares de JavaScript. Os nossos agradecimentos a Charlie Miller por comunicar estes problemas.
Important: Information about products not manufactured by Apple is provided for information purposes only and does not constitute Apple’s recommendation or endorsement. Please contact the vendor for additional information.