Acerca del contenido de seguridad de Safari 4.0.5

Este documento describe el contenido de seguridad de Safari 4.0.5.

Con la finalidad de proteger a nuestros clientes, Apple no revela, discute ni confirma problemas de seguridad hasta que se ha realizado una investigación exhaustiva y estén disponibles todas las revisiones y actualizaciones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta "Cómo utilizar la clave PGP de seguridad de los productos de Apple".

Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables con la finalidad de obtener más información.

Para obtener información acerca de otras actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".

Safari 4.0.5

  • ColorSync

    CVE-ID: CVE-2010-0040

    Disponible para: Windows 7, Vista, XP

    Impacto: la visualización de una imagen creada con fines malintencionados con un perfil de color integrado puede provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: existe un desbordamiento de enteros en el manejo de imágenes con perfil de color incrustado que podría provocar un desbordamiento del búfer de montones. La apertura de una imagen creada con fines malintencionados con un perfil de color integrado puede provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. Este problema se ha solucionado mediante la comprobación adicional de los perfiles de color. Este problema no afecta a los sistemas Mac OS X. Gracias a Sebastien Renaud, del VUPEN Vulnerability Research Team, por informar sobre este problema.

  • ImageIO

    CVE-ID: CVE-2009-2285

    Disponible para: Windows 7, Vista, XP

    Impacto: la visualización de una imagen TIFF creada con fines malintencionados puede provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario.

    Descripción: existe un subdesbordamiento de búfer en el manejo de imágenes TIFF por parte de ImageIO. La visualización de una imagen TIFF creada con fines malintencionados puede provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario. Este problema se resuelve mejorando la comprobación de los límites. Para los sistemas Mac OS X v10.6, este problema queda resuelto en Mac OS X v10.6.2. Para los sistemas Mac OS X v10.5, este problema queda resuelto con la Actualización de seguridad 2010-001.

  • ImageIO

    CVE-ID: CVE-2010-0041

    Disponible para: Windows 7, Vista, XP

    Impacto: visitar un sitio web creado con fines malintencionados puede ocasionar el envío de datos desde la memoria de Safari al sitio web.

    Descripción: existe un problema de acceso a memoria no inicializada durante el procesamiento de imágenes BMP por parte de ImageIO. Visitar un sitio web creado con fines malintencionados puede ocasionar el envío de datos desde la memoria de Safari al sitio web. Este problema se soluciona mejorando la gestión de la memoria y con una validación adicional de las imágenes BMP. Gracias a Matthew 'j00ru' Jurczyk de Hispasec por informar de este problema.

  • ImageIO

    CVE-ID: CVE-2010-0042

    Disponible para: Windows 7, Vista, XP

    Impacto: visitar un sitio web creado con fines malintencionados puede ocasionar el envío de datos desde la memoria de Safari al sitio web.

    Descripción: existe un problema de acceso a memoria no inicializada durante el procesamiento de imágenes TIFF por parte de ImageIO. Visitar un sitio web creado con fines malintencionados puede ocasionar el envío de datos desde la memoria de Safari al sitio web. Este problema se soluciona mejorando la gestión de la memoria y con una validación adicional de las imágenes TIFF. Gracias a Matthew 'j00ru' Jurczyk de Hispasec por informar de este problema.

  • ImageIO

    CVE-ID: CVE-2010-0043

    Disponible para: Windows 7, Vista, XP

    Impacto: procesar una imagen TIFF creada con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario.

    Descripción: se produce un error de corrupción de memoria al procesar imágenes TIFF. Procesar una imagen TIFF creada con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario. Este problema se resuelve mejorando la gestión de la memoria. Gracias a Gus Mueller de Flying Meat por informar de este problema.

  • PubSub

    CVE-ID: CVE-2010-0044

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 o posterior, Mac OS X Server v10.6.1 o posterior, Windows 7, Vista, XP

    Impacto: al visitar o actualizar un canal podría crearse una cookie incluso si Safari está configurado para bloquearlas

    Descripción: existe un error de implementación en la gestión de cookies creadas por canales RSS y Atom. Al visitar o actualizar un canal podría crearse una cookie incluso si Safari está configurado para bloquearlas mediante la preferencia "Aceptar cookies". Esta actualización soluciona el problema respetando las preferencias mientras se actualizan o visitan canales.

  • Safari

    CVE-ID: CVE-2010-0045

    Disponible para: Windows 7, Vista, XP

    Impacto: la visita a un sitio web creado con fines malintencionados puede provocar la ejecución de código arbitrario

    Descripción: un problema con el manejo de esquemas URL externos por parte de Safari puede ocasionar la apertura de un archivo local en respuesta a una URL encontrada en una página web. La visita a un sitio web malintencionado puede ocasionar la ejecución de código arbitrario. Esta actualización resuelve el problema mediante la mejora de la validación de las direcciones URL externas. Este problema no afecta a los sistemas Mac OS X. Gracias a Billy Rios y a Microsoft Vulnerability Research (MSVR) por informar de este problema.

  • WebKit

    CVE-ID: CVE-2010-0046

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 o posterior, Mac OS X Server v10.6.1 o posterior, Windows 7, Vista, XP

    Impacto: la visita a un sitio web creado con fines malintencionados puede ocasionar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: existe un problema de corrupción de datos en el modo en que WebKit procesa los argumentos CSS format(). La visita a un sitio web creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario. Este problema se soluciona mediante la gestión mejorada de los argumentos CSS format(). Gracias a Robert Swiecki, de Google Inc., por informar de este problema.

  • WebKit

    CVE-ID: CVE-2010-0047

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 o posterior, Mac OS X Server v10.6.1 o posterior, Windows 7, Vista, XP

    Impacto: la visita a un sitio web creado con fines malintencionados puede ocasionar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: existe un problema de uso después de liberación en la gestión de contenido alternativo de elementos objeto HTML. La visita a un sitio web creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario. Este problema se resuelve mejorando el seguimiento de las referencias de memoria. Gracias a wushi, del team509, que trabaja con la Zero Day Initiative de TippingPoint, por informar de este problema.

  • WebKit

    CVE-ID: CVE-2010-0048

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 o posterior, Mac OS X Server v10.6.1 o posterior, Windows 7, Vista, XP

    Impacto: la visita a un sitio web creado con fines malintencionados puede ocasionar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: existe un problema de uso después de liberación en el análisis de documentos XML por parte de WebKit. La visita a un sitio web creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario. Este problema se resuelve mejorando el seguimiento de las referencias de memoria. Gracias a wushi, del team509, que trabaja con la Zero Day Initiative de TippingPoint, por informar de este problema.

  • Webkit

    CVE-ID: CVE-2010-0049

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 o posterior, Mac OS X Server v10.6.1 o posterior, Windows 7, Vista, XP

    Impacto: la visita a un sitio web creado con fines malintencionados puede ocasionar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: existe un problema de uso después de liberación en el manejo de elementos HTML que contengan texto mostrado de derecha a izquierda. La visita a un sitio web creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario. Este problema se soluciona mejorando el seguimiento de las referencias de memoria. Gracias a wushi, del team509, que trabaja con la Zero Day Initiative de TippingPoint, por informar de este problema.

  • WebKit

    CVE-ID: CVE-2010-0050

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 o posterior, Mac OS X Server v10.6.1 o posterior, Windows 7, Vista, XP

    Impacto: la visita a un sitio web creado con fines malintencionados puede ocasionar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: existe un problema de uso después de liberación en la gestión de etiquetas HTML anidadas incorrectamente por parte de WebKit. La visita a un sitio web creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario. Este problema se soluciona mejorando el seguimiento de las referencias de memoria. Gracias a wushi, del team509, que trabaja con la Zero Day Initiative de TippingPoint, por informar de este problema.

  • WebKit

    CVE-ID: CVE-2010-0051

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 o posterior, Mac OS X Server v10.6.1 o posterior, Windows 7, Vista, XP

    Impacto: la visita de un sitio web creado con fines malintencionados puede ocasionar la divulgación de información confidencial

    Descripción: existe un problema de implementación en la gestión de peticiones de hojas de estilo de orígenes distintos por parte de WebKit. La visita de un sitio web creado con fines malintencionados puede ocasionar la divulgación de contenidos de recursos protegidos en otro sitio web. Esta actualización soluciona el problema realizando una validación adicional de las hojas de estilo que se cargan durante una petición de orígenes múltiples.

  • WebKit

    CVE-ID: CVE-2010-0052

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 o posterior, Mac OS X Server v10.6.1 o posterior, Windows 7, Vista, XP

    Impacto: la visita a un sitio web creado con fines malintencionados puede ocasionar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: existe un problema de uso después de liberación en la gestión de devoluciones de llamada para elementos HTML por parte de WebKit. La visita a un sitio web creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario. Este problema se resuelve mejorando el seguimiento de las referencias de memoria. Gracias a: Apple.

  • WebKit

    CVE-ID: CVE-2010-0053

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 o posterior, Mac OS X Server v10.6.1 o posterior, Windows 7, Vista, XP

    Impacto: la visita a un sitio web creado con fines malintencionados puede ocasionar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: existe un problema de uso después de liberación en la visualización de contenidos con una propiedad de visualización CSS configurada como "run-in". La visita a un sitio web creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario. Este problema se soluciona mejorando el seguimiento de las referencias de memoria. Gracias a wushi, del team509, que trabaja con la Zero Day Initiative de TippingPoint, por informar de este problema.

  • WebKit

    CVE-ID: CVE-2010-0054

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 o posterior, Mac OS X Server v10.6.1 o posterior, Windows 7, Vista, XP

    Impacto: la visita a un sitio web creado con fines malintencionados puede ocasionar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: existe un problema de uso después de liberación en la gestión de elementos de imagen HTML por parte de WebKit. La visita a un sitio web creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario. Este problema se resuelve mejorando el seguimiento de las referencias de memoria. Gracias a: Apple.

Fecha de publicación: