Acerca dos conteúdos de segurança do Safari 5.0.2 e Safari 4.1.2

Este documento descreve os conteúdos de segurança do 5.0.2 e Safari 4.1.2.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.

Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos Apple".

Sempre que possível, são utilizados CVE ID para designar as vulnerabilidades e disponibilizar mais informações.

Para saber mais sobre outras Atualizações de segurança, consulte o artigo "Atualizações de segurança da Apple".

Safari 5.0.2 e Safari 4.1.2

• Safari

  CVE-ID: CVE-2010-1805

  Disponível para: Windows 7, Vista, XP SP2 ou posterior

  Impacto: abrir um ficheiro num diretório escrito por outros utilizadores poderá provocar a execução de código arbitrário

  Descrição: existe um problema de caminho de pesquisa no Safari. Ao apresentar a localização de um ficheiro transferido, o Safari inicia o Windows Explorer sem especificar um caminho completo para o executável. Iniciar o Safari ao abrir um ficheiro num diretório específico irá incluir esse diretório no caminho de pesquisa. Tentar revelar a localização de um ficheiro transferido poderá executar uma aplicação contida nesse diretório, o que poderá provocar a execução de código arbitrário. Este problema foi resolvido através da utilização de um caminho de pesquisa explícito ao iniciar o Windows Explorer. Este problema não afeta os sistemas Mac OS X. Os nossos agradecimentos a Simon Raner da ACROS Security por ter comunicado este problema.

• WebKit

  CVE-ID: CVE-2010-1807

  Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 ou posterior, Mac OS X Server v10.6.1 ou posterior, Windows 7, Vista, XP

  Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

  Descrição: existe um problema de validação de entrada no processamento de tipos de dados de ponto flutuante por parte do WebKit. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através da validação melhorada de valores de ponto flutuante. Os nossos agradecimentos a Luke Wagner da Mozilla por ter comunicado este problema.

• Webkit

  CVE-ID: CVE-2010-1806

  Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 ou posterior, Mac OS X Server v10.6.1 ou posterior, Windows 7, Vista, XP

  Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

  Descrição: existe um problema do tipo "use after free" (utilização após libertação de memória) no processamento de elementos com estilo run-in. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através do processamento melhorado de ponteiros de objeto. Os nossos agradecimentos a wushi da team509, em colaboração com o programa Zero Day Initiative da TippingPoint, por ter comunicado este problema.