Sobre o conteúdo de segurança do 5.0.2 e Safari 4.1.2

Este documento descreve o conteúdo de segurança do 5.0.2 e Safari 4.1.2.

Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário tenha mais informações.

Para saber mais sobre outras Atualizações de Segurança, consulte o artigo Versões de segurança da Apple.

Safari 5.0.2 e Safari 4.1.2

• Safari

  CVE-ID: CVE-2010-1805

  Disponível para: Windows 7, Vista, XP SP2 ou posterior

  Impacto: abrir um arquivo em um diretório gravável por outros usuários pode levar à execução arbitrária de códigos

  Descrição: há um problema no caminho de busca no Safari. Ao exibir a localização de um arquivo baixado, o Safari iniciará o Windows Explorer sem especificar um caminho completo para o executável. Iniciar o Safari ao abrir um arquivo em um diretório específico incluirá esse diretório no caminho de busca. A tentativa de revelar a localização de um arquivo baixado pode executar um aplicativo contido nesse diretório, que pode levar à execução arbitrária de códigos. Esse problema é resolvido usando um caminho de busca explícito ao iniciar o Windows Explorer. Esse problema não afeta sistemas Mac OS X. Agradecemos a Simon Raner da ACROS Security por relatar esse problema.

• WebKit

  CVE-ID: CVE-2010-1807

  Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, X SP2 ou posterior

  Impacto: acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

  Descrição: existe um problema de validação de entrada no processamento de tipos de dados de ponto flutuante pelo WebKit. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema é resolvido por meio da validação aprimorada de valores de ponto flutuante. Crédito a Luke Wagner da Mozilla por relatar esse problema.

• WebKit

  CVE-ID: CVE-2010-1806

  Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

  Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

  Descrição: existe um problema de "uso após a liberação" no processamento de elementos com estilo "run-in" pelo WebKit. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi resolvido por meio de melhorias no processamento de ponteiros de objeto. Agradecemos a wushi da team509, em parceria com a Zero Day Initiative da TippingPoint, por comunicar esse problema.