Sobre o conteúdo de segurança do Safari 3.1.2 para Windows

Este documento descreve o conteúdo de segurança do Safari 3.1.2, que pode ser baixado e instalado nas preferências "Atualização de Software" ou em "Downloads da Apple".

Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras Atualizações de Segurança, consulte "Atualizações de Segurança da Apple".

Safari 3.1.2 para Windows

Safari

CVE-ID: CVE-2008-1573

Disponível para: Windows XP ou Vista

Impacto: a visualização de uma imagem BMP ou GIF criada maliciosamente poderia levar à divulgação de informações.

Descrição: uma leitura de memória fora dos limites pode ocorrer no processamento de imagens BMP e GIF, o que pode levar à divulgação do conteúdo da memória. Essa atualização soluciona o problema por meio de uma validação adicional de imagens BMP e GIF. Esse problema é resolvido em sistemas que executam o Mac OS X 10.5.3 e no Mac OS X 10.4.11 com a Atualização de Segurança 2008-003. Crédito a Gynvael Coldwind da Hispasec por relatar esse problema.

Safari

CVE-ID: CVE-2008-2540

Disponível para: Windows XP ou Vista

Impacto: salvar arquivos não confiáveis na área de trabalho do Windows poderia levar à execução de código arbitrário.

Descrição: há um problema em como a área de trabalho do Windows lida com executáveis. Salvar um arquivo não confiável na área de trabalho do Windows pode acionar o problema e levar à execução de código arbitrário. Os navegadores da Web são um meio pelo qual os arquivos podem ser salvos na área de trabalho. Para ajudar a mitigar esse problema, o navegador Safari foi atualizado para solicitar ao usuário antes de salvar um arquivo de download. Além disso, o local de download padrão é alterado para a pasta Downloads do usuário no Windows Vista e para a pasta Documentos do usuário no Windows XP. Este problema não existe em sistemas que executam o Mac OS X. Informações adicionais estão disponíveis em http://www.microsoft.com/technet/security/advisory/953818.mspx, com créditos a Aviv Raff por relatar o problema.

Safari

CVE-ID: CVE-2008-2306

Disponível para: Windows XP ou Vista

Impacto: acessar um site malicioso que está em uma zona confiável do Internet Explorer pode levar à execução automática de código arbitrário.

Descrição: se um site estiver em uma zona do Internet Explorer 7 com a configuração "Lançamento de aplicativos e arquivos inseguros" definida como "Ativar", ou se um site estiver na zona "In Intranet local" ou "Sites confiáveis" do Internet Explorer 6, o Safari iniciará automaticamente os arquivos executáveis que são baixados do site. Essa atualização resolve o problema não iniciando automaticamente os arquivos executáveis baixados e solicitando ao usuário antes de baixar um arquivo se a configuração "sempre solicitar" estiver ativada. Esse problema não existe em sistemas que executam o Mac OS X. Crédito a Will Dormann do CERT/CC por relatar esse problema. Reconhecimento ao Microsoft Security Response Center pelo esforço colaborativo para resolver esse problema.

WebKit

CVE-ID: CVE-2008-2307

Disponível para: Windows XP ou Vista

Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos.

Descrição: há um problema de memória corrompida quando o WebKit processa matrizes JavaScript. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Essa atualização soluciona o problema por meio de uma verificação de limites aprimorada. Agradecemos a James Urquhart por relatar o problema.