Sobre o conteúdo de segurança do 5.0.2 e Safari 4.1.2
Este documento descreve o conteúdo de segurança do 5.0.2 e Safari 4.1.2.
Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.
Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.
Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário tenha mais informações.
Para saber mais sobre outras Atualizações de Segurança, consulte o artigo Versões de segurança da Apple.
Safari 5.0.2 e Safari 4.1.2
Safari
CVE-ID: CVE-2010-1805
Disponível para: Windows 7, Vista, XP SP2 ou posterior
Impacto: abrir um arquivo em um diretório gravável por outros usuários pode levar à execução arbitrária de códigos
Descrição: há um problema no caminho de busca no Safari. Ao exibir a localização de um arquivo baixado, o Safari iniciará o Windows Explorer sem especificar um caminho completo para o executável. Iniciar o Safari ao abrir um arquivo em um diretório específico incluirá esse diretório no caminho de busca. A tentativa de revelar a localização de um arquivo baixado pode executar um aplicativo contido nesse diretório, que pode levar à execução arbitrária de códigos. Esse problema é resolvido usando um caminho de busca explícito ao iniciar o Windows Explorer. Esse problema não afeta sistemas Mac OS X. Agradecemos a Simon Raner da ACROS Security por relatar esse problema.
WebKit
CVE-ID: CVE-2010-1807
Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, X SP2 ou posterior
Impacto: acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: existe um problema de validação de entrada no processamento de tipos de dados de ponto flutuante pelo WebKit. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema é resolvido por meio da validação aprimorada de valores de ponto flutuante. Crédito a Luke Wagner da Mozilla por relatar esse problema.
WebKit
CVE-ID: CVE-2010-1806
Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior
Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos
Descrição: existe um problema de "uso após a liberação" no processamento de elementos com estilo "run-in" pelo WebKit. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi resolvido por meio de melhorias no processamento de ponteiros de objeto. Agradecemos a wushi da team509, em parceria com a Zero Day Initiative da TippingPoint, por comunicar esse problema.
Importante: as informações sobre produtos de outros fabricantes são apenas para fins informativos e não constituem nenhum tipo de aval ou recomendação da Apple. Entre em contato com o fornecedor para obter mais informações.