Acerca del contenido de seguridad de Safari 3.1.2 para Windows
Este documento describe el contenido de seguridad de Safari 3.1.2 para Windows, que puede descargarse e instalarse a través de las preferencias de actualización de software, o desde las descargas de Apple.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.
Para obtener información acerca de la clave PGP de seguridad de los productos Apple, consulta “Cómo usar la clave PGP de seguridad de los productos Apple”.
A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.
Para obtener información acerca de las actualizaciones de seguridad, consulta “Actualizaciones de seguridad de Apple”.
Safari 3.1.2 para Windows
Safari
ID CVE: CVE-2008-1573
Disponible para Windows XP o Vista
Impacto: Ver una imagen BMP o GIF creada con fines malintencionados podría ocasionar la divulgación de información.
Descripción: Al manipular imágenes BMP o GIF podría producirse una lectura de la memoria que esté fuera de los límites, lo que podría ocasionar la divulgación de contenidos de la memoria. En esta actualización se soluciona el problema llevando a cabo una validación adicional de las imágenes BMP y GIF. El problema se soluciona en los sistemas que ejecutan Mac OS X 10.5.3 y en Mac OS X 10.4.11 con la actualización de seguridad 2008-003. Gracias a Gynvael Coldwind de Hispasec por informarnos este problema.
Safari
ID CVE: CVE-2008-2540
Disponible para Windows XP o Vista
Impacto: Guardar archivos que no son de confianza en el escritorio de Windows podría hacer que se ejecute código arbitrario.
Descripción: Existe un problema en el modo en que el escritorio de Windows maneja los ejecutables. Guardar un archivo que no es de confianza en el escritorio de Windows podría desencadenar el problema y avanzar hacia la ejecución de código arbitrario. Los navegadores web son uno de los modos en que los archivos pueden guardarse dentro del escritorio. Para ayudar a mitigar el problema, se ha actualizado el navegador Safari para que pregunte al usuario antes de guardar un archivo descargado. Además, se modifica la ubicación predeterminada para la descarga y se traslada a la carpeta Descargas del usuario en Windows Vista, además del archivo de documentos del usuario en Windows XP. Este problema no existe en sistemas que ejecutan Mac OS X. Se puede encontrar más información en http://www.microsoft.com/technet/security/advisory/953818.mspx y se agradece a Aviv Raff por informarnos este problema.
Safari
ID CVE: CVE-2008-2306
Disponible para Windows XP o Vista
Impacto: Visitar un sitio web malicioso que se encuentra de una zona confiable de Internet Explorer podría ocasionar la ejecución arbitraria automática de código.
Descripción: Si un sitio web está dentro e una Zona Internet Explorar 7 con la configuración “Launching applications and unsafe files” (Iniciar aplicaciones y archivos poco seguros) establecida en “Enable” (Habilitar) o si un sitio web se encuentra dentro de la intranet local de Internet Explorer 6 o su zona de sitios de confianza, Safari abrirá automáticamente los archivos ejecutables que se descargan desde el sitio. En esta actualización se soluciona el problema al no abrir automáticamente los archivos ejecutables descargados y al consultar al usuario antes de descargar un archivo si está activada la configuración “always prompt” (preguntar siempre). Este problema no existe en los sistemas que ejecutan Mac OS X. Gracias a Will Dormann de CERT/CC por informarnos este problema. Gracias al Centro de respuestas de seguridad de Microsoft por el trabajo conjunto a la hora de tratar este problema.
WebKit
ID CVE: CVE-2008-2307
Disponible para Windows XP o Vista
Impacto: visitar un sitio web creado con códigos maliciosos puede llevar al cierre inesperado de la aplicación o la ejecución de código arbitraria.
Descripción: Existe un problema de corrupción de la memoria en el manejo de las series de JavaScript por parte de WebKit. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. En esta actualización se soluciona el problema mediante una mejor comprobación de límites. Gracias a James Urquhart por informarnos este problema.
Importante: La mención de sitios web y productos de terceros se realiza solo con fines informativos y no constituye promoción ni recomendación. Apple no asume ninguna responsabilidad en relación con la selección, el rendimiento o el uso de la información o los productos que se encuentran en sitios web de terceros. Apple incluye esta información a modo de conveniencia para nuestros usuarios. Apple no verificó la información que se encuentra en estos sitios y no emite ninguna declaración sobre su precisión o confiabilidad. Existen riesgos inherentes al uso de cualquier información o producto que se encuentra en Internet, y Apple no asume ninguna responsabilidad en este sentido. Debe tenerse en cuenta que un sitio de terceros es independiente de Apple y que Apple no tiene control alguno sobre el contenido de ese sitio web. Comunícate con el proveedor para obtener más información.