Acerca do conteúdo de segurança do Safari 3.1.2 para Windows

Este documento descreve o conteúdo de segurança do Safari 3.1.2 para Windows, que pode ser descarregado e instalado através das preferências da Atualização de software ou a partir das Descargas da Apple.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.

Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos Apple".

Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.

Para saber mais sobre outras Atualizações de segurança, consulte o artigo "Atualizações de segurança da Apple."

Safari 3.1.2 para Windows

Safari

ID CVE: CVE-2008-1573

Disponível para: Windows XP ou Vista

Impacto: a visualização de uma imagem BMP ou GIF criada maliciosamente pode conduzir à divulgação de informações.

Descrição: pode ocorrer uma leitura de memória fora dos limites no processamento de imagens BMP e GIF, o que poderá conduzir à divulgação de conteúdos da memória. Esta atualização resolve o problema ao efetuar validação adicional das imagens BMP e GIF. Este problema é resolvido em sistemas com Mac OS X 10.5.3 e, no Mac OS X 10.4.11, com a Atualização de segurança 2008-003. Os nossos agradecimentos a Gynvael Coldwind da Hispasec por comunicar este problema.

Safari

ID CVE: CVE-2008-2540

Disponível para: Windows XP ou Vista

Impacto: guardar ficheiros não fidedignos no ambiente de trabalho do Windows pode conduzir à execução de código arbitrário.

Descrição: existe um problema na forma como o ambiente de trabalho processa ficheiros executáveis. Guardar um ficheiro não fidedigno no ambiente de trabalho do Windows pode acionar o problema e conduzir à execução de código arbitrário. Os navegadores da Web constituem uma forma de guardar ficheiros no ambiente de trabalho. Para ajudar a mitigar este problema, o navegador Safari foi atualizado para enviar um pedido ao utilizador antes de guardar um ficheiro descarregado. Além disso, a localização de descarga predefinida é alterada para a pasta Transferências do utilizador no Windows Vista e para a pasta Documentos do utilizador no Windows XP. Este problema não ocorre em sistemas com Mac OS X. Estão disponíveis informações adicionais em http://www.microsoft.com/technet/security/advisory/953818.mspx, que refere Aviv Raff como responsável pela comunicação do problema.

Safari

ID CVE: CVE-2008-2306

Disponível para: Windows XP ou Vista

Impacto: visitar um sítio da Web malicioso que se encontre numa zona fidedigna do Internet Explorer pode conduzir à execução automática de código arbitrário.

Descrição: se um sítio da Web se encontrar numa zona do Internet Explorer 7 com a definição "Iniciar aplicações e ficheiros não seguros" especificada como "Ativar" ou se um sítio da Web estiver na zona "Intranet local" ou "Sítios fidedignos" do Internet Explorer 6, o Safari iniciará automaticamente ficheiros executáveis descarregados a partir desse sítio. Esta atualização resolve o problema não iniciando automaticamente ficheiros executáveis descarregados e enviando ao utilizador um pedido antes de descarregar um ficheiro, se a definição "perguntar sempre" estiver ativada. Este problema não ocorre em sistemas com Mac OS X. Os nossos agradecimentos a Will Dormann da CERT/CC por comunicar este problema. Os nossos agradecimentos ao Microsoft Security Response Center pela colaboração na resolução deste problema.

WebKit

ID CVE: CVE-2008-2307

Disponível para: Windows XP ou Vista

Impacto: aceder a um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário.

Descrição: existe um problema de memória danificada no processamento de matrizes de JavaScript pelo WebKit. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Esta atualização corrige este problema através da verificação de limites melhorada. Os nossos agradecimentos a James Urquhart por comunicar este problema.