Sobre o conteúdo de segurança do Safari 3.2

Este documento descreve o conteúdo de segurança do Safari 3.2.

Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo "Como usar a Chave PGP de Segurança do Produto Apple".

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário tenha mais informações.

Para saber mais sobre outras Atualizações de Segurança, consulte "Atualizações de Segurança da Apple".

Safari 3.2

  • Safari

    CVE-ID: CVE-2005-2096

    Disponível para: Windows XP ou Vista

    Impacto: várias vulnerabilidades em zlib 1.2.2

    Descrição: várias vulnerabilidades em zlib 1.2.2, sendo que a mais séria delas poderia levar à negação de serviço. Essa atualização resolve os problemas ao atualizar para zlib 1.2.3. Esses problemas não afetam sistemas Mac OS X. Crédito para Robbie Joosten, da bioinformatics@school, e a David Gunnells, da Universidade do Alabama em Birmingham, por relatarem esses problemas.

  • Safari

    CVE-ID: CVE-2008-1767

    Disponível para: Windows XP ou Vista

    Impacto: processar um documento XML poderia levar ao encerramento inesperado do aplicativo ou à execução arbitrária de código

    Descrição: havia um problema de estouro de buffer de pilha na biblioteca libxslt. Visualizar uma página HTML criada com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Informações adicionais sobre a correção aplicada podem ser encontradas no site da http://xmlsoft.org/XSLT/ Esse problema não afeta sistemas Mac OS X que tiverem aplicado a Atualização de Segurança 2008-007. Crédito para Anthony de Almeida Lopes, da Outpost24 AB, e Chris Evans, da Google Security Team, por relatarem esse problema.

  • Safari

    CVE-ID: CVE-2008-3623

    Disponível para: Windows XP ou Vista

    Impacto: abrir um site criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: ocorre um estouro de buffer de pilha no processamento de espaços de cores no CoreGraphics. A visualização de uma imagem criada com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esta atualização resolve o problema por meio de melhorias na verificação de limites. Crédito: Apple.

  • Safari

    CVE-ID: CVE-2008-2327

    Disponível para: Windows XP ou Vista

    Impacto: a visualização de uma imagem TIFF criada com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: vários problemas de acesso de memória não inicializada no processamento por libTIFF de imagens TIFF codificadas com LZW. A visualização de uma imagem TIFF criada com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos. Essa atualização resolve o problema por meio de inicialização de memória correta e validação adicional de imagens TIFF. Esse problema é resolvido em sistemas que executam o Mac OS X 10.5.5 ou posterior e em sistemas Mac OS X 10.4.11 com a Atualização de Segurança 2008-006. Crédito: Apple.

  • Safari

    CVE-ID: CVE-2008-2332

    Disponível para: Windows XP ou Vista

    Impacto: processar uma imagem TIFF criada com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: existe um problema de memória corrompida no processamento de imagens TIFF por ImageIO. A visualização de uma imagem TIFF criada com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos. Essa atualização soluciona o problema por meio do processamento aprimorado de imagens TIFF. Esse problema é resolvido em sistemas que executam o Mac OS X 10.5.5 ou posterior e em sistemas Mac OS X 10.4.11 com a Atualização de Segurança 2008-006. Crédito para Robert Swiecki, da Google Security Team, por relatar esse problema.

  • Safari

    CVE-ID: CVE-2008-3608

    Disponível para: Windows XP ou Vista

    Impacto: processar uma grande imagem JPEG criada com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: existe um problema de memória corrompida no processamento de perfis ICC em imagens JPEG por ImageIO. A visualização de uma imagem JPEG grande criada com códigos maliciosos poderia causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Essa atualização soluciona o problema por meio do processamento aprimorado de perfis ICC. Esse problema é resolvido em sistemas que executam o Mac OS X 10.5.5 ou posterior e em sistemas Mac OS X 10.4.11 com a Atualização de Segurança 2008-006. Crédito: Apple.

  • Safari

    CVE-ID: CVE-2008-3642

    Disponível para: Windows XP ou Vista

    Impacto: abrir uma imagem criada com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: ocorre um estouro de buffer no processamento de imagens com um perfil ICC integrado. Abrir uma imagem criada com códigos maliciosos com um perfil ICC integrado pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos. Esta atualização resolve o problema por meio de uma validação adicional de perfis ICC em imagens. Esse problema não afeta os sistemas Mac OS X que têm a Atualização de Segurança 2008-007. Crédito: Apple.

  • Safari

    CVE-ID: CVE-2008-3644

    Disponível para: Mac OS X 10.4.11, Mac OS X 10.5.5, Windows XP ou Vista

    Impacto: informações confidenciais podem ser divulgadas a um usuário de console local

    Descrição: desativar o preenchimento automático em um campo de formulário pode não impedir os dados no campo de serem armazenados no cache da página do navegador. Isso pode levar à divulgação de informações confidenciais para um usuário local. Essa atualização resolve o problema ao apagar devidamente os dados do formulário. Crédito a um pesquisador anônimo por relatar esse problema.

  • WebKit

    CVE-ID: CVE-2008-2303

    Disponibilidade: Mac OS X 10.4.11, Mac OS X 10.5.5, Windows XP ou Vista

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: um problema de assinatura no processamento de índices de matriz do JavaScript pelo Safari pode resultar em um acesso à memória fora dos limites. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esta atualização resolve o problema por meio de uma validação adicional de índices de matriz do JavaScript. Agradecemos a SkyLined do Google por comunicar o problema.

  • WebKit

    CVE-ID: CVE-2008-2317

    Disponível para: Mac OS X 10.4.11, Mac OS X 10.5.5, Windows XP ou Vista

    Impacto: acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: existe um problema de memória corrompida no processamento de elementos de folha de estilo pelo WebCore. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esta atualização resolve o problema por meio da coleta aprimorada de lixo. Agradecemos a um pesquisador anônimo, em parceria com a Zero Day Initiative da TippingPoint, por comunicar o problema.

  • WebKit

    CVE-ID: CVE-2008-4216

    Disponível para: Mac OS X 10.4.11, Mac OS X 10.5.5, Windows XP ou Vista

    Impacto: acessar um site criado com códigos maliciosos pode levar à divulgação de informações confidenciais do usuário

    Descrição: a interface de plug-in do WebKit não impede block de iniciarem URLs locais. Acessar um site criado com códigos maliciosos poderia permitir que um invasor remoto iniciasse arquivos locais no Safari, o que poderia levar à divulgação de informações confidenciais. Essa atualização resolve o problema ao restringir os tipos de URLs que podem ser iniciados via interface de plug-in. Crédito a Billy Rios, da Microsoft, e a Nitesh Dhanjani, da Ernst & Young, por relatarem esse problema.

Importante: a menção a sites e produtos de terceiros tem fins somente informativos e não constitui aprovação nem recomendação. A Apple não assume responsabilidade pela seleção, pelo desempenho nem pelo uso de informações ou produtos disponíveis em sites de terceiros. A Apple fornece essas informações somente como cortesia para os usuários. A Apple não testou as informações disponíveis nesses sites e não garante sua precisão ou confiabilidade. O uso de quaisquer informações ou produtos disponíveis na Internet implica riscos, pelos quais a Apple não se responsabiliza. É importante compreender que sites de terceiros são independentes da Apple e que a Apple não tem controle sobre o conteúdo neles exibido. Entre em contato com o fornecedor para obter mais informações.

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: