Este artículo se ha archivado y Apple ya no lo actualiza.

Acerca del contenido de seguridad de Safari 5.0 y Safari 4.1

En este documento, se describe el contenido de seguridad de Safari 5.0 y Safari 4.1.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener información acerca de la clave PGP de seguridad de los productos Apple, consulta “Cómo usar la clave PGP de seguridad de los productos Apple”.

A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.

Para obtener información acerca de las actualizaciones de seguridad, consulta “Actualizaciones de seguridad de Apple”.

Safari 5.0

  • ColorSync

    CVE-ID: CVE-2009-1726

    Disponible para Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: La visualización de una imagen creada con fines malintencionados con un perfil ColorSync integrado puede provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    Descripción: Existía un desbordamiento del búfer de montón en el manejo de imágenes con un perfil integrado de ColorSync. La apertura de una imagen creada con fines maliciosos con un perfil ColorSync incrustado podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se solucionó mejorando la validación de los perfiles de ColorSync. Queremos darles las gracias a Chris Evans de Google Security Team y a Andrzej Dyjak por informar este problema.

  • ImageIO

    CVE-ID: CVE-2010-1411

    Disponible para Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: La apertura de un archivo TIFF creado con fines malintencionados podía provocar un cierre inesperado de una app o la ejecución de código arbitrario.

    Descripción: Varios desbordamientos de enteros en el manejo de archivos TIFF podían provocar un desbordamiento del búfer de montón. La apertura de un archivo TIFF creado con fines malintencionados podía ocasionar el cierre inesperado de una app o la ejecución de código arbitrario. Los problemas se solucionaron mediante una mejora en la comprobación de límites. Queremos darles las gracias a Kevin Finisterre de digitalmunition.com por informar estos problemas.

  • Safari

    CVE-ID: CVE-2010-1384

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Una URL creada con fines malintencionados podía ofuscarse, lo que hacía que los ataques de fraude de identidad (o phishing) fueran más eficaces.

    Descripción: Safari era compatible con incluir la información del usuario en las URL, lo que permitía que la URL especificara un nombre de usuario y una contraseña para autenticar al usuario en el servidor designado. Estas URL se utilizan a menudo para confundir a los usuarios, lo que potencialmente puede facilitar los ataques de phishing. Safari se actualiza para mostrar un aviso antes de acceder a una URL HTTP o HTTPS que incluya información de usuario. Agradecemos a Abhishek Arya de Google, Inc. por informar este problema.

  • Safari

    CVE-ID: CVE-2010-1385

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar el cierre inesperado de apps o la ejecución de código arbitrario.

    Descripción: Existía un problema de uso después de la liberación en el manejo de archivos PDF por parte de Safari. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se solucionó mejorando el manejo de los archivos PDF. Agradecemos a Borja Marcos de Sarenet por informar este problema.

  • Safari

    CVE-ID: CVE-2010-1750

    Disponible para: Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar el cierre inesperado de apps o la ejecución de código arbitrario.

    Descripción: Existía un problema de uso después de la liberación en la administración de ventanas de Safari. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se solucionó mejorando la administración de las ventanas. Este problema no afecta a los sistemas de Mac OS X.

  • WebKit

    CVE-ID: CVE-2010-1388

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores

    Impacto: Arrastrar o pegar enlaces o imágenes podía ocasionar la divulgación de información.

    Descripción: Existía un problema de implementación en el manejo de las URL en el portapapeles por parte de WebKit. Visitar un sitio web creado con fines malintencionados y arrastrar o pegar enlaces o imágenes podía enviar archivos del sistema del usuario a un servidor remoto. Este problema se solucionó realizando validaciones adicionales de las URL en el portapapeles. Este problema no afecta sistemas de Windows. Agradecemos a Eric Seidel de Google, Inc. por informar este problema.

  • WebKit

    CVE-ID: CVE-2010-1389

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Arrastrar o pegar una selección podía ocasionar un ataque de script entre sitios.

    Descripción: Arrastrar o pegar la selección de un sitio a otro podía ocasionar que los scripts contenidos en la selección se ejecutaran en el contexto del nuevo sitio. Este problema se solucionó mediante una validación adicional del contenido antes de pegar o arrastrar y soltar. Agradecemos a Paul Stone de Context Information Security por informar este problema.

  • WebKit

    CVE-ID: CVE-2010-1390

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio web que usaba la codificación UTF-7 podía ocasionar un ataque de script entre sitios.

    Descripción: Existía un problema de canonicalización en el manejo de texto codificado UTF-7 por parte de WebKit. Una cadena HTML citada podría quedar sin terminar, lo que puede llevar a un ataque de secuencias de comandos entre sitios u otros problemas. Este problema se soluciona eliminando la compatibilidad para la codificación UTF-7 en WebKit. Agradecemos a Masahiro Yamada por informar este problema.

  • WebKit

    CVE-ID: CVE-2010-1391

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar que se crearan archivos en ubicaciones arbitrarias en las que el usuario podía escribir.

    Descripción: Existía un problema de recorrido de ruta en la compatibilidad de WebKit con el almacenamiento local y las bases de datos de Web SQL. Si se accede desde un esquema definido por la aplicación que contiene “%2f” (/) o “%5c” (\) y “..” en la sección del host de la URL, un sitio web creado con fines malintencionados podría hacer que se creen archivos de base de datos fuera del directorio designado. Este problema se soluciona codificando los caracteres que podrían tener un significado especial en los nombres de ruta. Este problema no afecta a los sitios servidos desde los esquemas http: o https:. Crédito: Apple.

  • WebKit

    CVE-ID: CVE-2010-1392

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar el cierre inesperado de apps o la ejecución de código arbitrario.

    Descripción: Existía un problema de uso después de la liberación en la representación de botones HTML de WebKit. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se solucionó mejorando la administración de la memoria. Agradecemos a Matthieu Bonetti de VUPEN Vulnerability Research Team y a wushi de team509, en colaboración con el programa Zero Day Initiative de TippingPoint, por informar este problema.

  • WebKit

    CVE-ID: CVE-2010-1393

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar la divulgación de información.

    Descripción: Existía un problema de divulgación de información en el manejo de hojas de estilo en cascada por parte de WebKit. Si el atributo HREF de una hoja de estilo está configurado con una URL que provoca una redirección, los scripts en la página podrían acceder a la URL redirigida. La visualización de un sitio web creado con fines malintencionados podría provocar la divulgación de URL confidenciales en otro sitio. Este problema se soluciona devolviendo la URL original a los scripts en lugar de la URL redirigida.

  • WebKit

    CVE-ID: CVE-2010-1119

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 o versiones posteriores, Mac OS X Server v10.6.1 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar el cierre inesperado de apps o la ejecución de código arbitrario.

    Descripción: Existía un problema de uso después de la liberación en el manejo de la manipulación de atributos por parte de WebKit. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se soluciona mejorando el seguimiento de las referencias de memoria. Agradecemos a Vincenzo Iozzo y a Ralf Philipp Weinmann, en colaboración con el programa Zero Day Initiative de TippingPoint, y a Michal Zalewski de Google, Inc. por informar este problema.

  • WebKit

    CVE-ID: CVE-2010-1394

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar un ataque de scripts entre sitios.

    Descripción: Existía un problema de diseño en el manejo de fragmentos de documentos HTML por parte de WebKit. El contenido de los fragmentos de documentos HTML se procesa antes de que un fragmento se agregue realmente a un documento. Visitar un sitio web creado con fines malintencionados podría provocar un ataque de secuencias de comandos entre sitios si un sitio web legítimo intenta manipular un fragmento de documento que contiene datos no confiables. Este problema se soluciona si se garantiza que el análisis inicial del fragmento no tenga efectos secundarios en el documento que creó el fragmento. Agradecemos a Eduardo Vela Nava (sirdarckcat) de Google Inc. por informar este problema.

  • WebKit

    CVE-ID: CVE-2010-1422

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Interactuar con un sitio web creado con fines malintencionados podía ocasionar acciones inesperadas en otros sitios.

    Descripción: Existía un problema de implementación en el manejo del foco del teclado por parte de WebKit. Si el foco del teclado cambiaba durante el procesamiento al presionar teclas, WebKit podía enviar un evento al marco recién enfocado, en lugar del marco que tenía foco cuando se presionaba la tecla. Un sitio web manipulado maliciosamente puede ser capaz de manipular a un usuario para que realice una acción inesperada, como iniciar una compra. Este problema se solucionó evitando la entrega de eventos de presión de teclas si el foco del teclado cambiaba durante el procesamiento. Agradecemos a Michal Zalewski de Google, Inc. por informar este problema.

  • WebKit

    CVE-ID: CVE-2010-1395

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio creado con fines malintencionados podía ocasionar un ataque de script entre sitios.

    Descripción: Existía un problema de administración del alcance en el manejo de objetos constructores DOM por parte de WebKit. Visitar un sitio malicioso podría provocar un ataque de secuencias de comandos entre sitios. Este problema se solucionó mejorando el manejo de objetos constructores DOM. Agradecemos a Gianni "gf3" Chiappetta de Runlevel6 por informar este problema.

  • WebKit

    CVE-ID: CVE-2010-1396

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar el cierre inesperado de apps o la ejecución de código arbitrario.

    Descripción: Existía un problema de uso después de la liberación en el manejo de la eliminación de elementos del contenedor de parte de WebKit. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se soluciona mejorando el seguimiento de las referencias de memoria. Queremos darle las gracias a wushi de team509, en colaboración con el programa Zero Day Initiative de TippingPoint, por informar este problema.

  • WebKit

    CVE-ID: CVE-2010-1397

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar el cierre inesperado de apps o la ejecución de código arbitrario.

    Descripción: Existía un problema de uso después de la liberación en la representación de una selección por parte de WebKit cuando cambiaba el diseño. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se soluciona mediante la mejora del manejo de las selecciones. Agradecemos a wushi&Z de team509, en colaboración con el programa Zero Day Initiative de TippingPoint, por informar este problema.

  • WebKit

    CVE-ID: CVE-2010-1398

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar el cierre inesperado de apps o la ejecución de código arbitrario.

    Descripción: Existía un problema de daños en la memoria en el manejo de inserciones de listas ordenadas por parte de WebKit. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se soluciona mediante la mejora del manejo de las inserciones de listas. Queremos darle las gracias a wushi de team509, en colaboración con el programa Zero Day Initiative de TippingPoint, por informar este problema.

  • WebKit

    CVE-ID: CVE-2010-1399

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar el cierre inesperado de apps o la ejecución de código arbitrario.

    Descripción: Existía un problema de acceso a la memoria no inicializada en el manejo por parte de WebKit de los cambios de selección en los elementos de entrada de formularios. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se soluciona mediante la mejora del manejo de las selecciones. Queremos darle las gracias a wushi de team509, en colaboración con el programa Zero Day Initiative de TippingPoint, por informar este problema.

  • WebKit

    CVE-ID: CVE-2010-1400

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar el cierre inesperado de apps o la ejecución de código arbitrario.

    Descripción: Existía un problema de uso después de la liberación en el manejo de elementos de leyendas por parte de WebKit. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se soluciona mediante la mejora del manejo de los elementos de subtítulo. Agradecemos a wushi de team509 en colaboración con iDefense por informar este problema.

  • WebKit

    CVE-ID: CVE-2010-1401

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar el cierre inesperado de apps o la ejecución de código arbitrario.

    Descripción: Existía un problema de uso después de la liberación en el manejo por parte de WebKit del pseudoelemento ':first-letter’ en hojas de estilo en cascada. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se soluciona mediante la mejora del pseudoelemento “:first-letter”. Queremos darle las gracias a wushi de team509, en colaboración con el programa Zero Day Initiative de TippingPoint, por informar este problema.

  • WebKit

    CVE-ID: CVE-2010-1402

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar el cierre inesperado de apps o la ejecución de código arbitrario.

    Descripción: Existía un problema de doble liberación en el manejo de detectores de eventos por parte de WebKit en documentos SVG. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se solucionó mejorando el manejo de documentos SVG. Queremos darle las gracias a wushi de team509, en colaboración con el programa Zero Day Initiative de TippingPoint, por informar este problema.

  • WebKit

    CVE-ID: CVE-2010-1403

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar el cierre inesperado de apps o la ejecución de código arbitrario.

    Descripción: Existía un problema de acceso a la memoria no inicializada en el manejo de elementos 'use' por parte de WebKit en documentos SVG. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se solucionó a través de la mejora del manejo de los elementos “use” en documentos SVG. Agradecemos a wushi de team509 en colaboración con el programa Zero Day Initiative de TippingPoint por informar este problema.

  • WebKit

    CVE-ID: CVE-2010-1404

    Disponible para Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar el cierre inesperado de apps o la ejecución de código arbitrario.

    Descripción: Existía un problema de uso después de la liberación en el manejo de documentos SVG con varios elementos 'use' por parte de WebKit. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se solucionó a través de la mejora del manejo de los elementos “use” en documentos SVG. Queremos darle las gracias a wushi de team509, en colaboración con el programa Zero Day Initiative de TippingPoint, por informar este problema.

  • WebKit

    CVE-ID: CVE-2010-1410

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar el cierre inesperado de apps o la ejecución de código arbitrario.

    Descripción: Existía un problema de daños en la memoria en el manejo por parte de WebKit de elementos 'use' anidados en documentos SVG. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se solucionó mejorando el manejo de los elementos 'use' anidados en documentos SVG. Agradecemos a Aki Helin de OUSPG por informar este problema.

  • WebKit

    CVE-ID: CVE-2010-1749

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar el cierre inesperado de apps o la ejecución de código arbitrario.

    Descripción: Existía un problema de uso después de la liberación en el manejo de ejecuciones de CSS por parte de WebKit. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se solucionó mejorando el manejo de ejecuciones de CSS. Queremos darle las gracias a wushi de team509, en colaboración con el programa Zero Day Initiative de TippingPoint, por informar este problema.

  • WebKit

    CVE-ID: CVE-2010-1405

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar el cierre inesperado de apps o la ejecución de código arbitrario.

    Descripción: Existía un problema de uso después de la liberación en el manejo de elementos HTML con posicionamiento vertical personalizado por parte de WebKit. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se soluciona mejorando el seguimiento de las referencias de memoria. Agradecemos a Ojan Vafai de Google Inc. por informar este problema.

  • WebKit

    CVE-ID: CVE-2010-1406

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio HTTPS que redirigía a un sitio HTTP podía ocasionar la divulgación de información.

    Descripción: Cuando WebKit se redirigía desde un sitio HTTPS a un sitio HTTP, el encabezado Referer se transmitía al sitio HTTP. Esto podría provocar la divulgación de información confidencial contenida en la URL del sitio HTTPS. Este problema se resuelve al no pasar el encabezado Referer cuando un sitio HTTPS redirige a un sitio HTTP. Agradecemos a Colin Percival de Tarsnap por informar este problema.

  • WebKit

    CVE-ID: CVE-2010-1408

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar el envío de datos especificados de forma remota a puertos TCP arbitrarios.

    Descripción: Existía un problema de truncamiento de enteros en el manejo de solicitudes a puertos TCP no predeterminados por parte de WebKit. Visitar un sitio web creado con fines malintencionados podría resultar en el envío de datos especificados de forma remota a puertos TCP arbitrarios. Este problema se soluciona si se garantiza que los números de puerto estén dentro del rango válido.

  • WebKit

    CVE-ID: CVE-2010-1409

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar que se enviaran datos especificados de forma remota a un servidor IRC.

    Descripción: Los puertos de servicio IRC comunes no estaban incluidos en la lista negra de puertos de WebKit. Visitar un sitio web creado con fines malintencionados podría permitir que se envíen datos especificados de forma remota a un servidor IRC. Esto podría hacer que el servidor tome acciones no deseadas en nombre del usuario. Este problema se soluciona agregando los puertos afectados a la lista negra de puertos de WebKit.

  • WebKit

    CVE-ID: CVE-2010-1412

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar el cierre inesperado de apps o la ejecución de código arbitrario.

    Descripción: Existía un problema de uso después de la liberación en el manejo de eventos de desplazamiento del mouse por parte de WebKit. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se solucionó mejorando el manejo de eventos de desplazamiento del mouse. Agradecemos a Dave Bowker de davebowker por informar este problema.

  • WebKit

    CVE-ID: CVE-2010-1413

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Las credenciales NTLM de un usuario podían exponerse a un atacante intermedio.

    Descripción: En determinadas circunstancias, WebKit podía enviar credenciales NTLM en texto sin formato. Esto permitiría a un atacante en el medio ver las credenciales NTLM. Este problema se soluciona mediante la mejora del manejo de credenciales NTLM. Crédito: Apple.

  • WebKit

    CVE-ID: CVE-2010-1414

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar el cierre inesperado de apps o la ejecución de código arbitrario.

    Descripción: Existía un problema de uso después de la liberación en el manejo del método DOM removeChild por parte de WebKit. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se soluciona mediante la mejora del manejo de la eliminación de elementos secundarios. Agradecemos a Mark Dowd de Azimuth Security por informar este problema.

  • WebKit

    CVE-ID: CVE-2010-1415

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar el cierre inesperado de apps o la ejecución de código arbitrario.

    Descripción: Existía un problema de mal uso de API en el manejo de contextos libxml por parte de WebKit. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se soluciona mediante la mejora del manejo de los objetos de contextos de libxml. Agradecemos a Aki Helin de OUSPG por informar este problema.

  • WebKit

    CVE-ID: CVE-2010-1416

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados puede divulgar imágenes de otros sitios.

    Descripción: Existía un problema de captura de imágenes entre sitios en WebKit. Al utilizar un lienzo con un patrón de imagen SVG, un sitio web creado con fines malintencionados podría cargar y capturar una imagen de otro sitio web. Este problema se soluciona restringiendo la lectura de lienzos que contienen patrones cargados desde otros sitios web. Agradecemos a Chris Evans de Google Inc. por informar este problema.

  • WebKit

    CVE-ID: CVE-2010-1417

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar el cierre inesperado de apps o la ejecución de código arbitrario.

    Descripción: Existía un problema de daños en la memoria en la representación por parte WebKit de contenido HTML con estilo CSS con varios pseudoselectores :after. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se soluciona mediante una mejora en la renderización de contenido HTML. Agradecemos a wushi de team509 por informar este problema.

  • WebKit

    CVE-ID: CVE-2010-1418

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar un ataque de scripts entre sitios.

    Descripción: Existía un problema de validación de entradas en el manejo del atributo src del elemento de marcos por parte de WebKit. Un atributo con un esquema "javascript" y espacios iniciales se considera válido. Visitar un sitio web creado con fines malintencionados podría provocar un ataque de secuencias de comandos entre sitios. Esta actualización soluciona el problema al validar adecuadamente frame.src antes de acceder a la URL. Agradecemos a Sergey Glazunov por informar este problema.

  • WebKit

    CVE-ID: CVE-2010-1419

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar el cierre inesperado de apps o la ejecución de código arbitrario.

    Descripción: Existía un problema de uso después de la liberación en el manejo de arrastrar y soltar por parte de WebKit cuando la ventana que actuaba como fuente de una operación de arrastre se cerraba antes de que se completara la operación de arrastre. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se solucionó mejorando la administración de la memoria. Agradecemos a kuzzcc y Skylined de Google Chrome Security Team por informar este problema.

  • WebKit

    CVE-ID: CVE-2010-1421

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía cambiar el contenido del portapapeles.

    Descripción: Existía un problema de diseño en la implementación de la función JavaScript execCommand. Una página web creada con fines malintencionados podía modificar el contenido del portapapeles sin la interacción del usuario. Este problema se solucionó permitiendo que solo se ejecutaran comandos del portapapeles si los iniciaba el usuario. Crédito: Apple.

  • WebKit

    CVE-ID: CVE-2010-0544

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar un ataque de scripts entre sitios.

    Descripción: Un problema en el manejo de URL con formato incorrecto por parte de Webkit podía ocasionar un ataque de scripts entre sitios al visitar un sitio web creado con fines malintencionados. Este problema se soluciona mediante la mejora del manejo de URL. Agradecemos a Michal Zalewski de Google, Inc. por informar este problema.

  • WebKit

    CVE-ID: CVE-2010-1758

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar el cierre inesperado de apps o la ejecución de código arbitrario.

    Descripción: Existía un problema de uso después de la liberación en el manejo de objetos de rango DOM por parte de WebKit. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se soluciona mediante la mejora del manejo de los objetos DOM Range. Agradecemos a Yaar Schnitman de Google Inc. por informar este problema.

  • WebKit

    CVE-ID: CVE-2010-1759

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar el cierre inesperado de apps o la ejecución de código arbitrario.

    Descripción: Existía un problema de uso después de la liberación en el manejo del método Node.normalize por parte de WebKit. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se soluciona mediante la mejora del método Node.normalize. Agradecemos a Mark Dowd por informar este problema.

  • WebKit

    CVE-ID: CVE-2010-1761

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar el cierre inesperado de apps o la ejecución de código arbitrario.

    Descripción: Existía un problema de uso después de la liberación en la representación por parte de WebKit de subárboles de documentos HTML. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se soluciona mediante una mejora en la renderización de subárboles de documentos HTML. Agradecemos a James Robinson de Google Inc. por informar este problema.

  • WebKit

    CVE-ID: CVE-2010-1762

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar un ataque de scripts entre sitios.

    Descripción: Existía un problema de diseño en el manejo del HTML contenido en elementos del área de texto. Visitar un sitio web creado con fines malintencionados podía derivar en un ataque de scripts entre sitios. Este problema se soluciona mediante una mejora en la validación de elementos textarea. Agradecemos a Eduardo Vela Nava (sirdarckcat) de Google Inc. por informar este problema.

  • WebKit

    CVE-ID: CVE-2010-1764

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio web que redirigía los envíos de formularios podía ocasionar la divulgación de información.

    Descripción: Existía un problema de diseño en el manejo de redireccionamientos HTTP por parte de WebKit. Cuando el envío de un formulario se redirigía a un sitio web que también realizaba una redirección, la información contenida en el formulario enviado podía enviarse al tercer sitio. Este problema se solucionó mejorando el manejo de redireccionamientos HTTP. Agradecemos a Marc Worrell de WhatWebWhat por informar este problema.

  • WebKit

    CVE-ID: CVE-2010-1770

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar el cierre inesperado de apps o la ejecución de código arbitrario.

    Descripción: Existía un problema de comprobación de tipos en el manejo de nodos de texto por parte de WebKit. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se solucionó mejorando la comprobación de tipos. Queremos darle las gracias a wushi de team509, en colaboración con el programa Zero Day Initiative de TippingPoint, por informar este problema.

  • WebKit

    CVE-ID: CVE-2010-1771

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar el cierre inesperado de apps o la ejecución de código arbitrario.

    Descripción: Existía un problema de uso después de la liberación en el manejo de tipos de letra por parte de WebKit. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se solucionó mejorando el manejo de tipos de letra. Crédito: Apple.

  • WebKit

    CVE-ID: CVE-2010-1774

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar el cierre inesperado de apps o la ejecución de código arbitrario.

    Descripción: Existía un problema de acceso a la memoria fuera de los límites en el manejo de tablas HTML por parte de WebKit. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se soluciona mejorando la comprobación de límites. Agradecemos a wushi de team509 por informar este problema.

  • WebKit

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o versiones posteriores, Mac OS X Server v10.6.2 o versiones posteriores, Windows 7, Vista, XP SP2 o versiones posteriores

    Impacto: Un sitio web creado con fines malintencionados podía determinar qué sitios había visitado un usuario.

    Descripción: Existía un problema de diseño en el manejo de la pseudoclase CSS :visited por parte de WebKit. Un sitio web creado con fines malintencionados podía determinar qué sitios había visitado un usuario. Esta actualización limita la capacidad de las páginas web para diseñar páginas en función de si se visitan los enlaces.

Nota: Safari 5.0 y Safari 4.1 solucionan la misma serie de problemas de seguridad. Safari 5.0 se proporciona para los sistemas Mac OS X v10.5, Mac OS X v10.6 y Microsoft Windows. Safari 4.1 se proporciona para sistemas Mac OS X v10.4.

Importante: La información sobre los productos no fabricados por Apple se proporciona solo con fines informativos y no constituye la recomendación ni promoción por parte de Apple. Comunícate con el proveedor para obtener más información.

Fecha de publicación: