Acerca de la actualización de seguridad de Safari 4 Public Beta
En este documento, se describe la actualización de seguridad de Safari 4 Public Beta.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, consulta el sitio web Seguridad de los productos Apple.
Para obtener información acerca de la clave PGP de seguridad de los productos Apple, consulta “Cómo usar la clave PGP de seguridad de los productos Apple”.
A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.
Para obtener información acerca de las actualizaciones de seguridad, consulta “Actualizaciones de seguridad de Apple”.
Actualización de seguridad de Safari 4 Public Beta
libxml
ID CVE: CVE-2008-3529
Disponible para Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP o Vista
Impacto: Visitar un sitio web creado con fines malintencionados puede provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existe un desbordamiento del búfer de montón en la manipulación por parte de libxml de nombres de entidad largos. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. En esta actualización, se soluciona el problema mediante una mejora en la comprobación de límites. Este problema se solucionó en Safari 3.2.3.
Safari
ID CVE: CVE-2009-0162
Disponible para Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP o Vista
Impacto: Acceder a una URL de canal creada con fines malintencionados puede provocar la ejecución de código arbitrario
Descripción: Existen varios problemas de validación de entrada en la manipulación de Safari de las URL de canal. Acceder a una URL de canal creada con fines malintencionados puede provocar la ejecución de JavaScript arbitrario. En esta actualización, se solucionan los problemas mediante una validación adicional de las URL de canal. Estos problemas no afectan los sistemas anteriores a Mac OS X v10.5. Estos problemas se solucionaron en Safari 3.2.3. Les damos las gracias a Billy Rios de Microsoft Vulnerability Research (MSVR) y Alfredo Melloni por informar estos problemas.
WebKit
ID CVE: CVE-2009-0945
Disponible para Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Windows XP o Vista
Impacto: Visitar un sitio web creado con fines malintencionados puede provocar la ejecución de código arbitrario
Descripción: Existe un problema de corrupción de memoria en la manipulación de objetos SVGList por parte de WebKit. La visita a un sitio web creado con fines malintencionados puede provocar la ejecución de código arbitrario. En esta actualización, se soluciona el problema mediante una mejora en la comprobación de límites. Este problema se solucionó en Safari 3.2.3. Le damos las gracias a Nils en colaboración con la iniciativa Zero Day de TippingPoint por informar este problema.
Importante: La información sobre los productos no fabricados por Apple se proporciona solo con fines informativos y no constituye la recomendación ni promoción por parte de Apple. Comunícate con el proveedor para obtener más información.