Sobre o conteúdo de segurança do Safari 3.1.2 para Windows
Este documento descreve o conteúdo de segurança do Safari 3.1.2, que pode ser baixado e instalado nas preferências "Atualização de Software" ou em "Downloads da Apple".
Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.
Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.
Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.
Para saber mais sobre outras Atualizações de Segurança, consulte "Atualizações de Segurança da Apple".
Safari 3.1.2 para Windows
Safari
CVE-ID: CVE-2008-1573
Disponível para: Windows XP ou Vista
Impacto: a visualização de uma imagem BMP ou GIF criada maliciosamente poderia levar à divulgação de informações.
Descrição: uma leitura de memória fora dos limites pode ocorrer no processamento de imagens BMP e GIF, o que pode levar à divulgação do conteúdo da memória. Essa atualização soluciona o problema por meio de uma validação adicional de imagens BMP e GIF. Esse problema é resolvido em sistemas que executam o Mac OS X 10.5.3 e no Mac OS X 10.4.11 com a Atualização de Segurança 2008-003. Crédito a Gynvael Coldwind da Hispasec por relatar esse problema.
Safari
CVE-ID: CVE-2008-2540
Disponível para: Windows XP ou Vista
Impacto: salvar arquivos não confiáveis na área de trabalho do Windows poderia levar à execução de código arbitrário.
Descrição: há um problema em como a área de trabalho do Windows lida com executáveis. Salvar um arquivo não confiável na área de trabalho do Windows pode acionar o problema e levar à execução de código arbitrário. Os navegadores da Web são um meio pelo qual os arquivos podem ser salvos na área de trabalho. Para ajudar a mitigar esse problema, o navegador Safari foi atualizado para solicitar ao usuário antes de salvar um arquivo de download. Além disso, o local de download padrão é alterado para a pasta Downloads do usuário no Windows Vista e para a pasta Documentos do usuário no Windows XP. Este problema não existe em sistemas que executam o Mac OS X. Informações adicionais estão disponíveis em http://www.microsoft.com/technet/security/advisory/953818.mspx, com créditos a Aviv Raff por relatar o problema.
Safari
CVE-ID: CVE-2008-2306
Disponível para: Windows XP ou Vista
Impacto: acessar um site malicioso que está em uma zona confiável do Internet Explorer pode levar à execução automática de código arbitrário.
Descrição: se um site estiver em uma zona do Internet Explorer 7 com a configuração "Lançamento de aplicativos e arquivos inseguros" definida como "Ativar", ou se um site estiver na zona "In Intranet local" ou "Sites confiáveis" do Internet Explorer 6, o Safari iniciará automaticamente os arquivos executáveis que são baixados do site. Essa atualização resolve o problema não iniciando automaticamente os arquivos executáveis baixados e solicitando ao usuário antes de baixar um arquivo se a configuração "sempre solicitar" estiver ativada. Esse problema não existe em sistemas que executam o Mac OS X. Crédito a Will Dormann do CERT/CC por relatar esse problema. Reconhecimento ao Microsoft Security Response Center pelo esforço colaborativo para resolver esse problema.
WebKit
CVE-ID: CVE-2008-2307
Disponível para: Windows XP ou Vista
Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos.
Descrição: há um problema de memória corrompida quando o WebKit processa matrizes JavaScript. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Essa atualização soluciona o problema por meio de uma verificação de limites aprimorada. Agradecemos a James Urquhart por relatar o problema.
Importante: a menção a sites e produtos de terceiros tem fins somente informativos e não constitui aprovação nem recomendação. A Apple não assume responsabilidade pela seleção, pelo desempenho ou pelo uso de informações ou produtos disponíveis em sites de terceiros. A Apple fornece essas informações somente como cortesia para os usuários. A Apple não testou as informações disponíveis nesses sites e não garante sua precisão ou confiabilidade. O uso de quaisquer informações ou produtos disponíveis na internet implica riscos, pelos quais a Apple não se responsabiliza. É importante compreender que sites de terceiros são independentes da Apple e que a Apple não tem controle sobre o conteúdo neles exibido. Entre em contato com o fornecedor para obter mais informações.