Sobre o conteúdo de segurança do Safari 5.0.1 e Safari 4.1.1

Este documento descreve o conteúdo de segurança do Safari 5.0.1 e Safari 4.1.1.

Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário tenha mais informações.

Para saber mais sobre outras Atualizações de Segurança, consulte o artigo Versões de segurança da Apple.

Safari 5.0.1 e Safari 4.1.1

  • Safari

    • CVE-ID: CVE-2010-1778

    • Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    • Impacto: Acessar um feed RSS criado com códigos maliciosos pode fazer com que arquivos do sistema do usuário sejam enviados para um servidor remoto

    • Descrição: Existe um problema de script entre sites no processamento de feeds RSS do Safari. Acessar um feed RSS criado com códigos maliciosos pode fazer com que arquivos do sistema do usuário sejam enviados para um servidor remoto. Esse problema foi solucionado através de melhorias no processamento de feeds RSS. Agradecemos a Billy Rios da Google Security Team por comunicar esse problema.

  • Safari

    • CVE-ID: CVE-2010-1796

    • Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    • Impacto: O recurso de Preenchimento Automático do Safari pode divulgar informações para sites sem interação do usuário

    • Descrição: O recurso de Preenchimento Automático do Safari pode preencher automaticamente formulários da web usando informações designadas no seu Catálogo de Endereços do Mac OS X, Outlook ou Catálogo de Endereços do Windows. É necessária uma ação deliberada do usuário para que o Preenchimento Automático funcione dentro de um formulário da web. No entanto, existe um problema de implementação que permite que um site criado com códigos maliciosos acione o Preenchimento Automático sem interação do usuário. Isso pode resultar na divulgação das informações presentes no Cartão da Agenda do usuário. Para acionar o problema, as duas situações a seguir são necessárias. Em primeiro lugar, nas Preferências no Safari, em Preenchimento Automático, a caixa de seleção "Preencher automaticamente formulários da web usando informações do meu cartão da Agenda" deve estar marcada. Em segundo lugar, Agenda do usuário deve ter um Cartão designado como "Meu Cartão". Somente as informações nesse cartão específico podem ser acessadas através do Preenchimento Automático. Esse problema foi solucionado através da proibição de que o Preenchimento Automático use informações sem ação do usuário. Dispositivos que executam o iOS não são afetados. Agradecemos a Jeremiah Grossman da WhiteHat Security por comunicar esse problema.

  • WebKit

    • CVE-ID: CVE-2010-1780

    • Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    • Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    • Descrição: Ocorre um problema do tipo "uso após livre" durante o processamento do elemento "focus" pelo WebKit. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi solucionado através de melhorias no processamento de foco de elementos. Agradecemos a Tony Chang da Google, Inc. por comunicar esse problema.

  • WebKit

    • CVE-ID: CVE-2010-1782

    • Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    • Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    • Descrição: Existe um problema de corrupção de memória na renderização de elementos em linha do WebKit. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi resolvido por meio de melhorias na verificação de limites. Agradecemos a wushi, da team509, por comunicar esse problema.

  • WebKit

    • CVE-ID: CVE-2010-1783

    • Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    • Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    • Descrição: Existe um problema de corrupção de memória no processamento do WebKit de modificações dinâmicas nos nós de texto. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

  • WebKit

    • CVE-ID: CVE-2010-1784

    • Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    • Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    • Descrição: Há um problema de memória corrompida quando o WebKit processa contadores CSS. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória. Agradecemos a wushi da team509, em parceria com a Zero Day Initiative da TippingPoint, por comunicar esse problema.

  • WebKit

    • CVE-ID: CVE-2010-1785

    • Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    • Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    • Descrição: Existe um problema de acesso à memória não inicializado no processamento do WebKit dos pseudo-elementos :first-letter e :first-line em elementos de texto SVG. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi resolvido através da não conversão de elementos :first-letter e :first-line falsos em elementos de texto SVG. Agradecemos a wushi da team509, em parceria com a Zero Day Initiative da TippingPoint, por comunicar esse problema.

  • WebKit

    • CVE-ID: CVE-2010-1786

    • Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    • Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    • Descrição: Ocorre um problema do tipo "uso após livre" durante o processamento de elementos foreignObject em documentos SVG. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi solucionado através de validação adicional de documentos SVG. Agradecemos a wushi da team509, em parceria com a Zero Day Initiative da TippingPoint, por comunicar esse problema.

  • WebKit

    • CVE-ID: CVE-2010-1787

    • Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    • Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    • Descrição: Existe um problema de corrupção de memória no processamento do WebKit de elementos flutuantes em documentos SVG. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória. Agradecemos a wushi da team509, em parceria com a Zero Day Initiative da TippingPoint, por comunicar esse problema.

  • WebKit

    • CVE-ID: CVE-2010-1788

    • Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    • Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    • Descrição: Existe um problema de corrupção de memória no processamento pelo WebKit de elementos 'use' em documentos SVG. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi solucionado através de melhorias no processamento de elementos "use" em documentos SVG. Agradecemos a Justin Schuh da Google, Inc. por comunicar esse problema.

  • WebKit

    • CVE-ID: CVE-2010-1789

    • Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    • Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    • Descrição: Existe um estouro de buffer de pilha no processamento de strings JavaScript pelo WebKit. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi resolvido por meio de melhorias na verificação de limites. Crédito: Apple.

  • WebKit

    • CVE-ID: CVE-2010-1790

    • Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    • Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    • Descrição: Existe um problema de reentrada no processamento do WebKit de stubs JavaScript compilados just-in-time. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi solucionado através de melhorias de sincronização.

  • WebKit

    • CVE-ID: CVE-2010-1791

    • Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    • Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    • Descrição: Ocorre um problema de condição de assinatura durante o processamento de matrizes JavaScript pelo WebKit. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi resolvido através de melhorias nos índices da matriz JavaScript. Agradecemos a Natalie Silvanovich por comunicar esse problema.

  • WebKit

    • CVE-ID: CVE-2010-1792

    • Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    • Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    • Descrição: Ocorre um problema de corrupção de memória durante o processamento de expressões regulares pelo WebKit. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi solucionado através de melhorias no processamento de expressões regulares. Agradecemos a Peter Varga da Universidade de Szeged por comunicar esse problema.

  • WebKit

    • CVE-ID: CVE-2010-1793

    • Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    • Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    • Descrição: Ocorre um problema do tipo "uso após livre" durante o processamento de elementos "use" e "font-face" em documentos SVG pelo WebKit. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi solucionado através de melhorias no processamento de elementos "use" e "font-face" em documentos SVG. Agradecemos a Aki Helin da OUSPG por comunicar esse problema.

Importante: a menção a sites e produtos de terceiros tem fins somente informativos e não constitui aprovação nem recomendação. A Apple não assume responsabilidade pela seleção, pelo desempenho nem pelo uso de informações ou produtos disponíveis em sites de terceiros. A Apple fornece essas informações somente como cortesia para os usuários. A Apple não testou as informações disponíveis nesses sites e não garante sua precisão ou confiabilidade. O uso de quaisquer informações ou produtos disponíveis na Internet implica riscos, pelos quais a Apple não se responsabiliza. É importante compreender que sites de terceiros são independentes da Apple e que a Apple não tem controle sobre o conteúdo neles exibido. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: