Acerca del contenido de seguridad de Safari 3.2
En este documento, se describe el contenido de seguridad de Safari 3.2.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, consulta el sitio web Seguridad de los productos Apple.
Para obtener información acerca de la clave PGP de seguridad de los productos Apple, consulta “Cómo usar la clave PGP de seguridad de los productos Apple”.
A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.
Para obtener información sobre otras actualizaciones de seguridad, consulta “Actualizaciones de seguridad”.
Safari 3.2
Safari
CVE-ID: CVE-2005-2096
Disponible para: Windows XP o Vista
Impacto: Varias vulnerabilidades en zlib 1.2.2.
Descripción: Existían varias vulnerabilidades en zlib 1.2.2. La más grave de ellas era la que podía ocasionar la denegación del servicio. En esta actualización, los problemas se solucionaron actualizando a zlib 1.2.3. Estos problemas no afectan los sistemas de Mac OS X. Les damos las gracias a Robbie Joosten de bioinformatics@school, y David Gunnells de University of Alabama en Birmingham por informar estos problemas.
Safari
CVE-ID: CVE-2008-1767
Disponible para: Windows XP o Vista
Impacto: El procesamiento de un documento XML podía ocasionar el cierre inesperado de aplicaciones o la ejecución de código arbitrario.
Descripción: Existía un problema de desbordamiento del búfer de montón en la biblioteca libxslt. La visualización de una página HTML creada con fines malintencionados puede ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario. Se puede obtener más información sobre el parche aplicado a través de http://xmlsoft.org/XSLT/ Este problema no afecta los sistemas Mac OS X en los que se instaló la Actualización de seguridad 2008-007. Les damos las gracias a Anthony de Almeida Lopes de Outpost24 AB, y Chris Evans de Google Security Team por informar este problema.
Safari
CVE-ID: CVE-2008-3623
Disponible para: Windows XP o Vista
Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar el cierre inesperado de aplicaciones o la ejecución de código arbitrario.
Descripción: Existía un desbordamiento del búfer de montón en el manejo de espacios de color por parte de CoreGraphics. La visualización de una imagen creada con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. En esta actualización, se soluciona el problema mediante una mejora en la comprobación de límites. Crédito: Apple.
Safari
CVE-ID: CVE-2008-2327
Disponible para: Windows XP o Vista
Impacto: Visualizar una imagen TIFF creada con fines malintencionados podía ocasionar el cierre inesperado de aplicaciones o la ejecución de código arbitrario.
Descripción: Existían varios problemas de acceso a la memoria no inicializada en el manejo de imágenes TIFF codificadas con LZW por parte de libTIFF. La visualización de una imagen TIFF creada con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. En esta actualización, el problema se solucionó inicializando la memoria de forma correcta y validando las imágenes TIFF de forma adicional. Este problema se solucionó en sistemas que ejecutan Mac OS X v10.5.5 o versiones posteriores, y en sistemas Mac OS X v10.4.11 en los que se instaló la Actualización de seguridad 2008-006. Crédito: Apple.
Safari
CVE-ID: CVE-2008-2332
Disponible para: Windows XP o Vista
Impacto: Visualizar una imagen TIFF creada con fines malintencionados podía ocasionar el cierre inesperado de aplicaciones o la ejecución de código arbitrario.
Descripción: Existían un problema de daños en la memoria en el manejo de imágenes TIFF por parte de ImageIO. La visualización de una imagen TIFF creada con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. En esta actualización, el problema se solucionó mejorando el procesamiento de imágenes TIFF. Este problema se solucionó en sistemas que ejecutan Mac OS X v10.5.5 o versiones posteriores, y en sistemas Mac OS X v10.4.11 en los que se instaló la Actualización de seguridad 2008-006. Le damos las gracias a Robert Swiecki de Google Security Team por informar este problema.
Safari
CVE-ID: CVE-2008-3608
Disponible para: Windows XP o Vista
Impacto: Visualizar una imagen JPEG de gran tamaño creada con fines malintencionados podía ocasionar el cierre inesperado de aplicaciones o la ejecución de código arbitrario.
Descripción: Existía un problema de daños en la memoria en el manejo de perfiles ICC integrados en imágenes JPEG por parte de ImageIO. Visualizar una imagen JPEG de gran tamaño creada con fines malintencionados podía ocasionar el cierre inesperado de aplicaciones o la ejecución de código arbitrario. En esta actualización, el problema se solucionó mejorando el procesamiento de perfiles ICC. Este problema se solucionó en sistemas que ejecutan Mac OS X v10.5.5 o versiones posteriores, y en sistemas Mac OS X v10.4.11 en los que se instaló la Actualización de seguridad 2008-006. Crédito: Apple.
Safari
CVE-ID: CVE-2008-3642
Disponible para: Windows XP o Vista
Impacto: Visualizar una imagen creada con fines malintencionados podía ocasionar el cierre inesperado de aplicaciones o la ejecución de código arbitrario.
Descripción: Existía un desbordamiento del búfer en el manejo de imágenes con un perfil ICC integrado. Abrir una imagen creada con fines malintencionados con un perfil ICC integrado podía ocasionar el cierre inesperado de aplicaciones o la ejecución de código arbitrario. En esta actualización, el problema se solucionó realizando validaciones adicionales de los perfiles ICC en imágenes. Este problema no afecta los sistemas Mac OS X en los que se instaló la Actualización de seguridad 2008-007. Crédito: Apple.
Safari
CVE-ID: CVE-2008-3644
Disponible para: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP o Vista
Impacto: Se podía divulgar información confidencial a un usuario de la consola local.
Descripción: Deshabilitar la función de autocompletar en un campo de formulario podía no impedir que los datos del campo se almacenaran en la memoria caché de la página del navegador. Esto podía ocasionar la divulgación de información confidencial a un usuario local. En esta actualización, el problema se solucionó borrando los datos del formulario de forma correcta. Le damos las gracias a un investigador anónimo por informar este problema.
Safari
CVE-ID: CVE-2008-2303
Disponible para: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP o Vista
Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar el cierre inesperado de aplicaciones o la ejecución de código arbitrario.
Descripción: Un problema de firma en el manejo de índices de matriz JavaScript por parte de Safari podía dar lugar al acceso a la memoria fuera de los límites. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. En esta actualización, se realiza una validación adicional de los índices de matrices JavaScript para solucionar el problema. Queremos darle las gracias a SkyLined de Google por informar este problema.
WebKit
CVE-ID: CVE-2008-2317
Disponible para: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP o Vista
Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar el cierre inesperado de aplicaciones o la ejecución de código arbitrario.
Descripción: Existía un problema de daños en la memoria en el manejo de elementos de hojas de estilo por parte de WebCore. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. En esta actualización, se soluciona el problema mediante una mejora en la recolección de basura. Gracias a un investigador anónimo que trabaja con el programa Zero Day Initiative de TippingPoint por informar de este problema.
WebKit
CVE-ID: CVE-2008-4216
Disponible para: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP o Vista
Impacto: Visitar un sitio web creado con fines malintencionados podía ocasionar la divulgación de información confidencial.
Descripción: La interfaz de complementos de WebKit no impedía que los complementos iniciaran URL locales. Visitar un sitio web creado con fines malintencionados podía permitir que un atacante remoto iniciara archivos locales en Safari, lo que podía ocasionar la divulgación de información confidencial. En esta actualización, el problema se solucionó restringiendo los tipos de URL que se podían iniciar a través de la interfaz de complementos. Les damos las gracias a Billy Rios de Microsoft, y Nitesh Dhanjani de Ernst & Young por informar este problema.
Importante: la mención de sitios web y productos de terceros tiene solo fines informativos y no constituye un respaldo ni una recomendación. Apple no asume ninguna responsabilidad con respecto a la selección, el rendimiento o el uso de la información o los productos que se encuentran en sitios web de terceros. Apple lo proporciona solo para comodidad de nuestros usuarios. Apple no ha probado la información que se encuentra en estos sitios y no hace declaraciones con respecto a su precisión o confiabilidad. Existen riesgos inherentes al uso de cualquier información o producto que se encuentre en Internet, y Apple no asume ninguna responsabilidad al respecto. Ten en cuenta que un sitio de terceros es independiente de Apple y que Apple no tiene control sobre el contenido de ese sitio web. Comunícate con el proveedor para obtener más información.