Sobre o conteúdo de segurança do Safari 3.1.1

Este documento descreve o conteúdo de segurança do Safari 3.1.1, que pode ser baixado e instalado nas preferências "Atualização de Software" ou em "Downloads da Apple".

Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo "Como usar a Chave PGP de Segurança do Produto Apple".

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras Atualizações de Segurança, consulte "Atualizações de Segurança da Apple".

Safari 3.1.1

Safari

CVE-ID: CVE-2007-2398

Disponível para: Windows XP ou Vista

Impacto: um site criado com códigos maliciosos pode controlar o conteúdo da barra de endereços.

Descrição: um problema de tempo no Safari 3.1 permite que uma página da web altere o conteúdo da barra de endereços sem carregar o conteúdo da página correspondente. Isso pode ser usado para falsificar o conteúdo de um site legítimo, permitindo que credenciais de usuário ou outras informações sejam coletadas. Esse problema foi resolvido no Safari Beta 3.0.2, mas reintroduzido no Safari 3.1. Essa atualização resolve o problema restaurando o conteúdo da barra de endereços se uma solicitação de uma nova página da web for encerrada. Esse problema não afeta sistemas Mac OS X.

Safari

CVE-ID: CVE-2008-1024

Disponível para: Windows XP ou Vista

Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos.

Descrição: existe um problema de corrupção de memória no download do arquivo do Safari. Ao induzir um usuário a baixar um arquivo criado com códigos maliciosos, um invasor pode causar um encerramento inesperado do aplicativo ou execução arbitrária de código. Essa atualização soluciona o problema por meio do processamento aprimorado de downloads de arquivo. Esse problema não afeta sistemas Mac OS X.

WebKit

CVE-ID: CVE-2008-1025

Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.2, Mac OS X Server 10.5.2, Windows XP ou Vista

Impacto: acessar um site que contém códigos maliciosos pode resultar em scripts entre sites.

Descrição: existe um problema no processamento de URLs pelo WebKit contendo um caractere de dois-pontos no nome do host. Acessar um URL criado com códigos mal-intencionados pode resultar em um ataque de transmissão de script entre sites. Essa atualização soluciona o problema por meio do processamento aprimorado de URLs. Crédito a Robert Swiecki, da Equipe de Segurança da Informação do Google, e a David Bloom, por relatar esse problema.

WebKit

CVE-ID: CVE-2008-1026

Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.2, Mac OS X Server 10.5.2, Windows XP ou Vista

Impacto: visualizar uma página da web criada com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução de códigos arbitrários.

Descrição: existe um estouro de buffer de pilha no processamento de expressões regulares do WebKit. O problema pode ser acionado via JavaScript ao processar expressões regulares com grandes contagens de repetição aninhadas. Isso pode levar a um encerramento inesperado do aplicativo ou à execução arbitrária de código. Essa atualização soluciona o problema por meio de uma validação adicional de expressões regulares JavaScript. Crédito a Charlie Miller, Jake Honoroff e Mark Daniel trabalhando com a Iniciativa Zero Day da TippingPoint por relatar esse problema.