Acerca del contenido de seguridad de Safari 3.2

En este documento se describe el contenido de seguridad de Safari 3.2.

Con el fin de proteger a nuestros clientes, Apple no revelará, comentará ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, visita el sitio web Seguridad de los productos Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta “Cómo utilizar la clave PGP de seguridad de los productos Apple”.

Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

Safari 3.2

  • Safari

    ID de CVE: CVE-2005-2096

    Disponible para: Windows XP o Vista

    Impacto: múltiples vulnerabilidades en zlib 1.2.2.

    Descripción: existen múltiples vulnerabilidades en zlib 1.2.2, la más grave de ellas podría provocar una denegación de servicio. Esta actualización aborda los problemas actualizando a zlib 1.2.3. El problema no afecta a sistemas Mac OS X. Gracias a Robbie Joosten de bioinformatics@school y a David Gunnells de la Universidad de Alabama en Birmingham por informar de este problema.

  • Safari

    ID de CVE: CVE-2008-1767

    Disponible para: Windows XP o Vista

    Impacto: el procesamiento de un documento XML puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.

    Descripción: existe un problema de corrupción de memoria en la biblioteca libxslt. La visualización de una página HTML creada con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código. Más información sobre el patch aplicado disponible en http://xmlsoft.org/XSLT/ Este problema no afecta a sistemas Mac OS X que disponen de la actualización de seguridad 2008-007. Gracias a Anthony de Almeida Lopes de Outpost24 AB y a Chris Evans del equipo de seguridad de Google por informar de este problema.

  • Safari

    ID de CVE: CVE-2008-3623

    Disponible para: Windows XP o Vista

    Impacto: la apertura de una web creada con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución arbitraria de código.

    Descripción: existe un desbordamiento de búfer de memoria dinámica en el manejo de los espacios de color de CoreGraphics. La visualización de una imagen creada con fines malintencionados podría provocar el cierre de una aplicación de manera inesperada o la ejecución de código arbitrario. Esta actualización soluciona el problema mediante la comprobación mejorada de los límites especificados. Gracias a Apple.

  • Safari

    ID de CVE: CVE-2008-2327

    Disponible para: Windows XP o Vista

    Impacto: la apertura de una imagen TIFF creada con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución arbitraria de código.

    Descripción: existen varios problemas de acceso a la memoria no inicializada en el manejo de imágenes libTIFF por parte de imágenes libTIFF con codificación LZW. La visualización de una imagen TIFF creada con fines malintencionados puede provocar el cierre de la aplicación de manera inesperada o la ejecución de código arbitrario. Esta actualización aborda los problemas a través del inicio de memoria adecuado y validación adicional de imágenes TIFF. El problema se ha solucionado en sistemas con Mac OS X v10.5.5 o versiones posteriores y en sistemas Mac OS X v10.4.11 que disponen de la actualización de seguridad 2008-006. Gracias a Apple.

  • Safari

    ID de CVE: CVE-2008-2332

    Disponible para: Windows XP o Vista

    Impacto: la apertura de una imagen TIFF creada con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario.

    Descripción: existe un problema de corrupción de memoria en el manejo de imágenes TIFF de ImageIO. La visualización de una imagen TIFF creada con fines malintencionados puede provocar el cierre de la aplicación de manera inesperada o la ejecución de código arbitrario. Esta actualización aborda el problema mediante un mejor procesamiento de las imágenes TIFF. El problema se ha solucionado en sistemas con Mac OS X v10.5.5 o versiones posteriores y en sistemas Mac OS X v10.4.11 que disponen de la actualización de seguridad 2008-006. Gracias a Robert Swiecki del equipo de seguridad de Google por informar de este problema.

  • Safari

    ID de CVE: CVE-2008-3608

    Disponible para: Windows XP o Vista

    Impacto: la apertura de una imagen JPEG grande creada con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución arbitraria de código.

    Descripción: existe un problema de corrupción de memoria en el manejo de perfiles de codificación ICC en imágenes JPEG de ImageIO. La visualización de una imagen JPEG grande creada con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. Esta actualización aborda el problema mediante un mejor procesamiento de los perfiles ICC. El problema se ha solucionado en sistemas con Mac OS X v10.5.5 o versiones posteriores y en sistemas Mac OS X v10.4.11 que disponen de la actualización de seguridad 2008-006. Gracias a Apple.

  • Safari

    ID de CVE: CVE-2008-3642

    Disponible para: Windows XP o Vista

    Impacto: la apertura de una imagen creada con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución arbitraria de código.

    Descripción: existe un problema de desbordamiento de búfer de memoria dinámica en el manejo de imágenes con un perfil de codificación ICC. La apertura de una imagen creada con fines malintencionados con un perfil de codificación ICC podría provocar el cierre de la aplicación de manera inesperada o la ejecución arbitraria de código. Esta actualización aborda el problema mediante una validación adicional de los perfiles ICC en imágenes. Este problema no afecta a sistemas Mac OS X que disponen de la actualización de seguridad 2008-007. Gracias a Apple.

  • Safari

    ID de CVE: CVE-2008-3644

    Disponible para: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP o Vista

    Impacto: se podría filtrar información confidencial a un usuario de la consola local.

    Descripción: desactivar la opción de autocompletar campos de un formulario puede que no evite que los datos de caché queden almacenado en el navegador. Así se podría filtrar información confidencial a un usuario de la consola local. Esta actualización resuelve el problema eliminando de manera adecuada los datos del formulario. Gracias a una persona anónima por informar de este problema.

  • WebKit

    ID de CVE: CVE-2008-2303

    Disponible para: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP o Vista

    Impacto: visitar un sitio web creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.

    Descripción: un problema de firma en la gestión de índices de matrices JavaScript por parte de Safari puede dar lugar a un acceso a memoria fuera de los límites. Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. Esta actualización soluciona el problema realizando una validación adicional de los índices de matrices JavaScript. Gracias a SkyLined de Google por informar de este problema.

  • WebKit

    ID de CVE: CVE-2008-2317

    Disponible para: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP o Vista

    Impacto: visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    Descripción: existe un problema de corrupción de memoria en el manejo de elementos de hojas de estilo por parte de WebCore. Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. Esta actualización soluciona el problema mejorando la recogida de basura. Gracias a un investigador anónimo que trabaja con Zero Day Initiative de TippingPoint por informar de este problema.

  • WebKit

    ID de CVE: CVE-2008-4216

    Disponible para: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP o Vista

    Impacto: visitar un sitio web creado con fines malintencionados podría filtrar información confidencial.

    Descripción: la interfaz de plug-ins de WebKit no evita que los plug-ins inicien URL locales. Visitar un sitio web creado con fines malintencionados podría permitir que un atacante remoto inicie archivos locales en Safari, lo que podría provocar la filtración de información confidencial. Esta actualización soluciona el problema restringiendo el tipo de URL que se pueden iniciar mediante la interfaz de plug-ins. Gracias a Billy Rios de Microsoft y a Nitesh Dhanjani de Ernst & Young por informar de este problema.

Importante: La mención de sitios web y productos de terceros es solo para fines informativos y no constituye ni aprobación ni recomendación. Apple no asume ninguna responsabilidad con respecto a la selección, el rendimiento o el uso de la información o los productos que aparecen en sitios web de terceros. Apple proporciona esta información solo para comodidad de nuestros usuarios. Apple no ha probado la información incluida en estos sitios web y no se responsabiliza de su precisión o fiabilidad. Siempre existen riesgos inherentes al uso de cualquier información o producto que se encuentre en internet, y Apple no asume ninguna responsabilidad al respecto. Debes comprender que el sitio web de un tercero es independiente de Apple y que Apple no tiene control sobre su contenido. Por favor, contacta con el proveedor para obtener más información.

Fecha de publicación: