Sobre o conteúdo de segurança do Safari 4.0.3

Este documento descreve o conteúdo de segurança do Safari 4.0.3.

Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário tenha mais informações.

Para saber mais sobre outras Atualizações de Segurança, consulte "Atualizações de Segurança da Apple".

Safari 4.0.3

  • CoreGraphics

    CVE-ID: CVE-2009-2468

    Disponível para: Windows XP e Vista

    Impacto: acessar um site criado com códigos maliciosos pode levar ao encerramento inesperado do aplicativo ou execução arbitrária de código

    Descrição: ocorre um estouro de buffer de pilha no desenho de longas sequências de texto. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esta atualização resolve o problema por meio de melhorias na verificação de limites. Agradecemos a Will Drewry, da Google Inc., por relatar esse problema.

  • ImageIO

    CVE-ID: CVE-2009-2188

    Disponível para: Windows XP e Vista

    Impacto: abrir uma imagem criada com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: ocorre um estouro de buffer de pilha no processamento de metadados EXIF. A visualização de uma imagem criada com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esta atualização resolve o problema por meio de melhorias na verificação de limites.

  • Safari

    CVE-ID: CVE-2009-2196

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows XP e Vista

    Impacto: um site criado com códigos maliciosos pode ser promovido para a visualização Top Sites do Safari

    Descrição: o Safari 4 introduziu o recurso Top Sites para fornecer uma visão geral dos sites favoritos de um usuário. É possível que um site criado com códigos maliciosos promova sites arbitrários na visualização Top Sites por meio de ações automatizadas. Isso pode ser usado para facilitar um ataque de phishing. Esse problema é resolvido impedindo que as visitas automatizadas ao site afetem a lista dos Top Sites. Somente sites que o usuário acesse manualmente podem ser incluídos na lista dos Top Sites. Como nota, o Safari permite a detecção fraudulenta de sites por padrão. Desde a introdução do recurso Top Sites, sites fraudulentos não são exibidos na visualização Top Sites. Agradecemos a Inferno, da SecureThoughts.com, por relatar esse problema.

  • WebKit

    CVE-ID: CVE-2009-2195

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows XP e Vista

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: existe um estouro de buffer na análise de números de ponto flutuante do WebKit. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esta atualização resolve o problema por meio de melhorias na verificação de limites. Crédito: Apple.

  • WebKit

    CVE-ID: CVE-2009-2200

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows XP e Vista

    Impacto: acessar um site criado com códigos malicosos e clicar em "Ir" ao visualizar uma caixa de diálogo de plug-in malicioso pode levar à divulgação de informações confidenciais

    Descrição: o WebKit permite que o atributo pluginspage do elemento 'embed' faça referência a URLs de arquivos. Clicar em "Ir" na caixa de diálogo que aparece quando um tipo de plug-in desconhecido é referenciado redirecionará para a URL relacionada no atributo pluginspage. Isso pode permitir que um invasor remoto inicie URLs de arquivos no Safari e leve à divulgação de informações confidenciais. Essa atualização resolve o problema restringindo o uso do esquema de URL pluginspage a http ou https. Agradecemos a Alexios Fakos, da n.runs AG, por relatar esse problema.

  • WebKit

    CVE-ID: CVE-2009-2199

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.7, Mac OS X Server 10.5.7, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Windows XP e Vista

    Impacto: caracteres parecidos em um URL podem ser usados para mascarar um site

    Descrição: o suporte ao nome de domínio internacional (IDN) e as fontes Unicode incorporadas no Safari podem ser usadas para criar um URL que contenha caracteres parecidos. Eles podem ser usados em um site criado com códigos maliciosos para direcionar o usuário a um site falso que tem a aparência de ser um domínio legítimo. Esta atualização resolve o problema complementando a lista de caracteres semelhantes conhecidos do WebKit. Caracteres semelhantes são renderizados em Punycode na barra de endereço. Agradecemos a Chris Weber, da Casaba Security LLC, por comunicar esse problema.

Importante: as informações sobre produtos de outros fabricantes são apenas para fins informativos e não constituem nenhum tipo de aval ou recomendação da Apple. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: