Esse artigo foi arquivado e não será mais atualizado pela Apple.

Sobre o conteúdo de segurança do Safari 5.0 e Safari 4.1

Este documento descreve o conteúdo de segurança do Safari 5.0. e Safari 4.1.

Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário tenha mais informações.

Para saber mais sobre outras Atualizações de Segurança, consulte "Atualizações de Segurança da Apple".

Safari 5.0

  • ColorSync

    CVE-ID: CVE-2009-1726

    Disponível para: Windows 7, Vista, XP SP2 ou posterior

    Impacto: ver uma imagem criada com códigos maliciosos com um perfil ColorSync integrado pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: existe um estouro de inteiro no processamento de imagens com um perfil ColorSync incorporado. Abrir uma imagem criada com códigos maliciosos com um perfil ColorSync incorporado pode resultar no encerramento inesperado do aplicativo ou na execução arbitrária de códigos. Esse problema foi corrigido através da melhoria da validação de perfis ColorSync. Crédito para Chris Evans, da Google Security Team, e a Andrzej Dyjak por comunicarem o problema.

  • ImageIO

    CVE-ID: CVE-2010-1411

    Disponível para: Windows 7, Vista, XP SP2 ou posterior

    Impacto: abrir um arquivo TIFF criado com códigos maliciosos pode levar ao encerramento inesperado do aplicativo ou a execução de códigos arbitrários

    Descrição: existem vários estouros de inteiro no processamento de arquivos TIFF, o que pode resultar em um estouro de buffer de pilha. Abrir um arquivo TIFF criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos. Os problemas foram resolvidos por meio de melhorias na verificação de limites. Crédito para Kevin Finisterre da digitalmunition.com por relatar esses problemas.

  • Safari

    CVE-ID: CVE-2010-1384

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: Um URL criado com códigos maliciosos pode ser ocultado, fazendo com que os ataques de phishing sejam mais efetivo

    Descrição: O Safari permite a inclusão de dados de usuários em URLs, o que permite que o URL especifique um nome de usuário e uma senha para autenticar o usuário no servidor nomeado. Esses URLs são normalmente utilizados para confundir os usuários, que podem auxiliar ataques de phishing. O Safari foi atualizado para exibir um alerta antes da navegação em URLs HTTP ou HTTPS que contenham informações de usuários. Agradecemos a Abhishek Arya da Google, Inc. por comunicar esse problema.

  • Safari

    CVE-ID: CVE-2010-1385

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: ocorre um problema do tipo "uso após livre" durante o processamento de arquivos PDF pelO Safari. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi resolvido por meio de melhorias no processamento de arquivos PDF. Crédito a Borja Marcos da Sarenet por relatar esse problema.

  • Safari

    CVE-ID: CVE-2010-1750

    Disponível para: Windows 7, Vista, XP SP2 ou posterior

    Impacto: acessar um site criado com códigos maliciosos pode levar ao encerramento inesperado do aplicativo ou execução arbitrária de código

    Descrição: existe um problema de "uso após a liberação" no gerenciamento de janelas pelo Safari. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi resolvido por meio de melhorias no gerenciamento de janelas. Esse problema não afeta sistemas Mac OS X.

  • WebKit

    CVE-ID: CVE-2010-1388

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior

    Impacto: acessar um site criado com códigos maliciosos pode causar a divulgação de informações confidenciais

    Descrição: ocorre um problema de implementação no processamento de solicitações de URLs na área de transferência pelo WebKit. Visitar um site criado maliciosamente e arrastar ou colar links ou imagens pode enviar arquivos do sistema do usuário para um servidor remoto. Esse problema é resolvido por meio de validação adicional de URLs na área de transferência. Esse problema não afeta sistemas Windows. Agradecemos a Eric Seidel da Google Inc. por reportar este problema.

  • WebKit

    CVE-ID: CVE-2010-1389

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: Arrastar ou colar uma seleção pode levar a um ataque de script entre sites

    Descrição: Arrastar ou colar uma seleção de um site para outro pode permitir que os scripts contidos na seleção sejam executados no contexto do novo site. Esse problema foi resolvido por meio de validação adicional do conteúdo antes de uma operação de colar ou arrastar e soltar. Agradecemos a Paul Stone, da Context Information Security, por comunicar esse problema..

  • WebKit

    CVE-ID: CVE-2010-1390

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: ocorre um problema de condição de assinatura durante o processamento de matrizes JavaScript pelo WebKit. Uma sequência de caracteres em HTML pode ficar sem terminação, o que resulta em ataques de scripts entre sites e outros problemas. Esse problema foi solucionado através da remoção do suporte à codificação UTF-7 no WebKit. Agradecemos a Masahiro Yamada por comunicar esse problema.

  • WebKit

    CVE-ID: CVE-2010-1792

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: Acessar um site criado com códigos maliciosos pode fazer com que os arquivos sejam criados em locais arbitrários onde a gravação é possível

    Descrição: Existe um problema de cruzamento de caminho no suporte do WebKit a bancos de dados SQL de armazenamento local ou da web. Caso seja acessado a partir de um esquema definido por aplicativo que contenha '%2f' (/) ou '%5c' (\) e '..' na seção de host do URL, o site criado com códigos maliciosos pode fazer com que os arquivos de banco de dados sejam criados fora do diretório designado. Esse problema foi solucionado através da codificação de caracteres que possam ter significados especiais em nomes de caminhos. Esse problema não afeta sites com esquemas http: ou https:. Crédito: Apple.

  • WebKit

    CVE-ID: CVE-2010-1392

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: Ocorre um problema do tipo "uso após liberação" durante a renderização de botões HTML pelo WebKit. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória. Agradecemos a Matthieu Bonetti da Equipe de Pesquisas de Vulnerabilidades da VUPEN e a wushi da team509, que trabalha na Zero Day Initiative da TippingPoint, por comunicarem esse problema.

  • WebKit

    CVE-ID: CVE-2010-1393

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: ocorre um problema de corrupção de memória durante o processamento de expressões regulares pelo WebKit. Se um atributo HREF de uma folha de estilo for definido para um URL que causa um redirecionamento, é possível que os scripts da página sejam capazes de acessar o URL redirecionado. Acessar um site criado com códigos maliciosos pode resultar na divulgação de URLs confidenciais em outro site. O problema foi solucionado através do retorno do URL original nos scripts em vez do URL redirecionado.

  • WebKit

    CVE-ID: CVE-2010-1780

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: Ocorre um problema do tipo "uso após livre" durante o processamento da manipulação de atributos pelo WebKit. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi resolvido por meio de melhorias no rastreamento de referência de memória. Agradecemos a Vincenzo Iozzo e Ralf Philipp Weinmann, que trabalham na Zero Day Initiative da TippingPoint, e a Michal Zalewski da Google, Inc. por comunicarem esse problema.

  • WebKit

    CVE-ID: CVE-2010-1394

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: Acessar um site criado com códigos maliciosos pode resultar em um ataque de transmissão de scripts entre sites

    Descrição: Ocorre um problema de design no processamento de fragmentos de documentos HTML pelo WebKit. O conteúdo dos fragmentos de documento HTML é processado antes de o fragmento ser realmente adicionado a um documento. Acessar um site criado com códigos maliciosos pode resultar em um ataque de transmissão de script entre sites caso um site legítimo tente manipular um fragmento de documento que contenha dados não confiáveis. Esse problema foi solucionado através da confirmação de que a análise inicial do fragmento não apresenta efeitos colaterais sobre o documento que criou o fragmento. Agradecemos a Eduardo Vela Nava (sirdarckcat) da Google Inc. por comunicar esse problema.

  • WebKit

    CVE-ID: CVE-2010-1422

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: interagir com um site com códigos mal-intencionados pode resultar em ações inesperadas em outros sites

    Descrição: ocorre um problema de implementação durante o processamento de foco de teclado pelo WebKit. Se o foco do teclado mudar durante o processamento das teclas pressionadas, o WebKit pode entregar um evento ao quadro recém-focado, em vez do quadro que tinha foco quando a tecla foi pressionada. Um site com códigos maliciosos poderá manipular um usuário para realizar ações inesperadas, como iniciar uma compra. Esse problema é resolvido impedindo a entrega de eventos de pressionamento de tecla se o foco do teclado mudar durante o processamento. Agradecemos a Michal Zalewski da Google, Inc. por comunicar esse problema.

  • WebKit

    CVE-ID: CVE-2010-1395

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: Acessar um site malicioso pode resultar em ataques de transmissão de script entre sites

    Descrição: ocorre um problema de gerenciamento de memória durante o processamento de objetos construtores DOM pelo WebKit. Acessar um site malicioso pode resultar em ataques de transmissão de script entre sites. Esse problema foi solucionado através de melhorias no processamento de objetos "construtores". Agradecemos a Gianni "gf3" Chiappetta, da Runlevel6, por comunicar esse problema.

  • WebKit

    CVE-ID: CVE-2010-1396

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: ocorre um problema do tipo "uso após liberação" durante o processamento da remoção de elementos de contêiner pelo WebKit. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi resolvido por meio de melhorias no rastreamento de referência de memória. Agradecemos a wushi da team509, em parceria com a Zero Day Initiative da TippingPoint, por comunicar esse problema.

  • WebKit

    CVE-ID: CVE-2010-1397

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: ocorre um problema do tipo "uso após liberação" durante a renderização de uma seleção pelo WebKit quando o layout muda. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi solucionado através de melhorias no processamento de seleções. Agradecemos a wushi&Z da team509, que trabalha na Zero Day Initiative da TippingPoint, por comunicar esse problema.

  • WebKit

    CVE-ID: CVE-2010-1398

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: ocorre um problema de corrupção de memória durante o processamento de inserções de lista ordenada pelo WebKit. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi solucionado através de melhorias no processamento de inserções de listas. Agradecemos a wushi da team509, em parceria com a Zero Day Initiative da TippingPoint, por comunicar esse problema.

  • WebKit

    CVE-ID: CVE-2010-1399

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: Ocorre um problema de acesso à memória não inicializada durante o processamento de alterações de seleção pelo WebKit em elementos de entrada de formulários. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi solucionado através de melhorias no processamento de seleções. Agradecemos a wushi da team509, em parceria com a Zero Day Initiative da TippingPoint, por comunicar esse problema.

  • WebKit

    CVE-ID: CVE-2010-1400

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: Ocorre um problema do tipo "uso após livre" durante o processamento de elementos de legenda pelo WebKit. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi solucionado através de melhorias no processamento de elementos de legenda. Crédito ao wushi da team509 trabalhando com o iDefense por relatar esse problema.

  • WebKit

    CVE-ID: CVE-2010-1401

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: Ocorre um problema do tipo "uso após livre" durante o processamento do pseudoelemento ":first-letter" pelo WebKit em folhas de estilo em cascata. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi solucionado através de melhorias no processamento do pseudoelemento ":first-letter". Agradecemos a wushi da team509, em parceria com a Zero Day Initiative da TippingPoint, por comunicar esse problema.

  • WebKit

    CVE-ID: CVE-2010-1402

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: Ocorre um problema do tipo "double free" durante o processamento de ouvintes de evento em documentos SVG pelo WebKit. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi solucionado através de melhorias no processamento de documentos SVG. Agradecemos a wushi da team509, em parceria com a Zero Day Initiative da TippingPoint, por comunicar esse problema.

  • WebKit

    CVE-ID: CVE-2010-1403

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: ocorre um problema de memória não inicializada durante o processamento de elementos do tipo "use" em documentos SVG pelo WebKit. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi solucionado através de melhorias no processamento de elementos "use" em documentos SVG. Agradecemos a wushi da team509, em parceria com a Zero Day Initiative da TippingPoint, por comunicar esse problema.

  • WebKit

    CVE-ID: CVE-2010-1404

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: existe um problema de "uso após a liberação" no processamento de documentos SVG com vários elementos do tipo "use" pelo WebKit. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi solucionado através de melhorias no processamento de elementos "use" em documentos SVG. Agradecemos a wushi da team509, em parceria com a Zero Day Initiative da TippingPoint, por comunicar esse problema.

  • WebKit

    CVE-ID: CVE-2010-1410

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: ocorre um problema de corrupção de memória durante o processamento de elementos do tipo "use" aninhados em documentos SVG pelo WebKit. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi solucionado através de melhorias no processamento de elementos "use" aninhados em documentos SVG. Agradecemos a Aki Helin da OUSPG por comunicar esse problema.

  • WebKit

    CVE-ID: CVE-2010-1749

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: ocorre um problema do tipo "uso após liberação" durante o processamento de execuções de CSS pelo WebKit. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi resolvido por meio de melhorias no processamento de execuções de CSS. Agradecemos a wushi da team509, em parceria com a Zero Day Initiative da TippingPoint, por comunicar esse problema.

  • WebKit

    CVE-ID: CVE-2010-1405

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: Ocorre um problema do tipo "uso após livre" durante o processamento de elementos HTML com posicionamento vertical personalizado pelo WebKit. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi resolvido por meio de melhorias no rastreamento de referência de memória. Agradecemos a Ojan Vafai, da Google Inc., por comunicar esse problema.

  • WebKit

    CVE-ID: CVE-2010-1406

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: Visitar um site HTTPS que redireciona para um site HTTP pode levar a uma divulgação de informações

    Descrição: Quando o WebKit é redirecionado de um site HTTPS para um site HTTP, o cabeçalho do Referer é passado para o site HTTP. Isso pode resultar na divulgação de informações confidenciais presentes no URL do site HTTPS. Esse problema foi solucionado através da desconsideração do cabeçalho Referer quando o site HTTPS realiza o redirecionamento para um site HTTP. Agradecemos a Colin Percival da Tarsnap por comunicar esse problema.

  • WebKit

    CVE-ID: CVE-2010-1408

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: Acessar um site criado com códigos maliciosos pode resultar no envio remoto de dados específicos para portas TCP aleatórias

    Descrição: Ocorre um problema de truncagem de inteiro durante o processamento de solicitações para portas TCP não padrão pelo WebKit. Acessar um site criado com códigos maliciosos pode resultar no envio remoto de dados específicos para portas TCP aleatórias. Esse problema foi solucionado através da confirmação de que os números das portas estão dentro do intervalo válido.

  • WebKit

    CVE-ID: CVE-2010-1409

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: Acessar um site criado com códigos maliciosos pode permitir o envio remoto de dados específicos para um servidor IRCC

    Descrição: Portas de serviço IRC comuns não estão incluídas na lista de portas proibidas do WebKit. Acessar um site criado com códigos maliciosos pode permitir o envio remoto de dados específicos para um servidor IRC. Isso pode fazer com que o servidor execute ações arbitrárias em nome do usuário. Esse problema foi solucionado através da adição das portas afetadas à lista de portas proibidas do WebKit.

  • WebKit

    CVE-ID: CVE-2010-1412

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: ocorre um problema do tipo "uso após liberação" durante o processamento de eventos "hover" pelo WebKit. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi solucionado através de melhorias no processamento de eventos "hover". Agradecemos a Dave Bowker da davebowker.com por reportar este problema.

  • WebKit

    CVE-ID: CVE-2010-1413

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: As credenciais NTLM de um usuário podem ficar expostas a um ataque "man-in-the-middle"

    Descrição: Em determinados casos, é possível que o WebKit envie credenciais NTLM como texto sem formatação. Isso permite que um invasor "man-in-the-middle" visualize as credenciais NTLM. Esse problema foi solucionado através de melhorias no processamento de credenciais NTLM. Crédito: Apple.

  • WebKit

    CVE-ID: CVE-2010-1414

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: Ocorre um problema do tipo "uso após livre" durante o processamento do método DOM removeChild pelo WebKit. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi solucionado através de melhorias no processamento da remoção de elementos filhos. Agradecemos a Mark Dowd, da Azimuth Security, por comunicar esse problema.

  • WebKit

    CVE-ID: CVE-2010-1415

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: Ocorre um problema de uso impróprio de API no processamento de contextos libxml pelo WebKit. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi solucionado através de melhorias no processamento de objetos de contexto libxml. Agradecemos a Aki Helin da OUSPG por comunicar esse problema.

  • WebKit

    CVE-ID: CVE-2010-1416

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: Acessar um site criado com códigos mal-intencionados pode divulgar imagens de outros sites

    Descrição: há um problema de captura de imagens entre sites no WebKit. Ao usar uma tela com um padrão de imagem SVG, um site criado com códigos maliciosos pode carregar e capturar uma imagem de outro site. Esse problema foi solucionado através da restrição da leitura de telas que contenham padrões carregados de outros sites. Agradecemos a Chris Evans da Google Inc. por reportar este problema.

  • WebKit

    CVE-ID: CVE-2010-1417

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: Ocorre um problema de corrupção de memória na conversão de conteúdo HTML em estilo CSS com diversos falsos seletores :after pelo WebKit. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi solucionado através de melhorias na conversão de conteúdo HTML. Agradecemos a wushi, da team509, por comunicar esse problema.

  • WebKit

    CVE-ID: CVE-2010-1418

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, X SP2 ou posterior

    Impacto: Acessar um site criado com códigos maliciosos pode resultar em um ataque de transmissão de scripts entre sites

    Descrição: Ocorre um problema de validação de entrada durante o processamento do atributo src do elemento de quadro pelo WebKit. Um atributo com esquema de javascript e espaços iniciais é considerado válido. Acessar um site criado com códigos maliciosos pode resultar em um ataque de transmissão de script entre sites. Esta atualização soluciona o problema através da validação correta do frame.src antes da eliminação de referência do URL. Agradecemos a Sergey Glazunov por comunicar esse problema.

  • WebKit

    CVE-ID: CVE-2010-1419

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: ocorre um problema do tipo "uso após liberação" durante o processamento pelo WebKit de arrastar e soltar quando a janela que está atuando como a fonte de uma operação de arrastar é fechada antes de a operação de fechar ser concluída. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória. Crédito ao kuzzcc e Skylined da Equipe de Segurança do Google Chrome por relatar esse problema.

  • WebKit

    CVE-ID: CVE-2010-1421

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: acessar um site criado com códigos maliciosos pode causar a alteração de conteúdo da área de transferência

    Descrição: ocorre um problema de condição de assinatura durante o processamento de matrizes JavaScript pelo WebKit. Uma página da web maliciosamente criada pode modificar o conteúdo da área de transferência sem a interação do usuário. Esse problema é resolvido permitindo que os comandos da área de transferência sejam executados apenas se iniciados pelo usuário. Crédito: Apple.

  • WebKit

    CVE-ID: CVE-2010-0544

    Disponível para: Mac OS X v10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: Acessar um site criado com códigos maliciosos pode resultar em um ataque de transmissão de script entre sites

    Descrição: Um problema no processamento de URLs com erros pelo WebKit pode resultar em um ataque de transmissão de script entre sites durante acessos a sites criados com códigos maliciosos. Esse problema foi solucionado através de melhorias no processamento de URLs. Agradecemos a Michal Zalewski da Google, Inc. por comunicar esse problema.

  • WebKit

    CVE-ID: CVE-2010-1758

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: Ocorre um problema do tipo "uso após livre" durante o processamento de objetos Range DOM pelo WebKit. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi solucionado através de melhorias no processamento de objetos Range DOM. Agradecemos a Yaar Schnitman, da Google Inc., por comunicar esse problema.

  • WebKit

    CVE-ID: CVE-2010-1759

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: Ocorre um problema do tipo "uso após livre" durante o processamento do método Node.normalize pelo WebKit. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi solucionado através de melhorias no processamento do método Node.normalize. Agradecemos a Mark Dowd por comunicar esse problema.

  • WebKit

    CVE-ID: CVE-2010-1761

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: Ocorre um problema do tipo "uso após liberação" durante a conversão de sub-árvores de documentos HTML pelo WebKit. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi solucionado através de melhorias na conversão de sub-árvores de documentos HTML. Agradecemos a James Robinson, da Google Inc., por comunicar esse problema.

  • WebKit

    CVE-ID: CVE-2010-1762

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: Ocorre um problema de design durante o processamento de HTML presente em elementos de área de texto. Acessar um site criado com códigos maliciosos pode resultar em um ataque de transmissão de scripts entre sites. Esse problema foi solucionado através de melhorias na validação de elementos de áreas de texto. Agradecemos a Eduardo Vela Nava (sirdarckcat) da Google Inc. por comunicar esse problema.

  • WebKit

    CVE-ID: CVE-2010-1764

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: Acessar um site que redireciona envios de formulário pode resultar na divulgação de informações

    Descrição: ocorre um problema de design durante o processamento de redirecionamentos HTTP pelo WebKit. Quando um envio de formulário é redirecionado para um site que também faz um redirecionamento, as informações contidas no formulário enviado podem ser enviadas para o terceiro site. Esse problema foi solucionado através de melhorias no processamento de redirecionamentos HTTP. Crédito a Marc Worrell do WhatWebWhat por relatar esse problema.

  • WebKit

    CVE-ID: CVE-2010-1770

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: ocorre um problema de verificação de tipos durante o processamento de nós de texto pelo WebKit. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi resolvido por meio de melhorias na verificação de tipos. Agradecemos a wushi da team509, em parceria com a Zero Day Initiative da TippingPoint, por comunicar esse problema.

  • WebKit

    CVE-ID: CVE-2010-1771

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: ocorre um problema do tipo "uso após liberação" durante o processamento de fontes pelo WebKit. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi solucionado através de melhorias no processamento de fontes. Crédito: Apple.

  • WebKit

    CVE-ID: CVE-2010-1774

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: Ocorre um problema de acesso a memória fora dos limites durante o processamento de tabelas HTML pelo WebKit. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi resolvido por meio de melhorias na verificação de limites. Agradecemos a wushi, da team509, por comunicar esse problema.

  • WebKit

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: Um site criado maliciosamente pode ser capaz de determinar quais sites um usuário visitou.

    Descrição: ocorre um problema de design durante o processamento da pseudoclasse :visited CSS pelo WebKit. Um site criado maliciosamente pode ser capaz de determinar quais sites um usuário visitou. Esta atualização limita a capacidade das páginas da web de estilizar páginas com base no fato de os links serem acessados.

Nota: o Safari 5.0 e o Safari 4.1 resolvem o mesmo conjunto de problemas de segurança. O Safari 5.0 é fornecido para os sistemas Mac OS X 10.5, Mac OS X 10.6 e Microsoft Windows. O Safari 4.1 é fornecido para sistemas Mac OS X 10.4.

Importante: as informações sobre produtos de outros fabricantes são apenas para fins informativos e não constituem nenhum tipo de aval ou recomendação da Apple. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: