Sobre o conteúdo de segurança do Safari 4.0.3

Este documento descreve o conteúdo de segurança do Safari 4.0.3.

Para fins de proteção de nossos clientes, a Apple não divulga, discute ou confirma problemas de segurança até que uma ampla investigação seja conduzida e que as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos da Apple, consulte a página Segurança do produto Apple.

Para obter informações sobre a chave de segurança PGP do produto Apple, consulte Como usar a chave de segurança PGP do produto Apple.

Sempre que possível, serão usadas IDs de CVE para indicar as vulnerabilidades e permitir que o usuário obtenha informações mais detalhadas.

Para saber mais sobre outras atualizações de segurança, consulte "Atualizações de segurança da Apple".

Safari 4.0.3

  • CoreGraphics

    ID de CVE: CVE-2009-2468

    Disponível para: Windows XP e Vista

    Impacto: Visitar um site desenvolvido com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou execução arbitrária de códigos

    Descrição: Há saturação de buffer de pilha ao esboçar linhas de texto longas. Visitar um site desenvolvido com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou execução arbitrária de códigos. Esta atualização soluciona o problema através de verificação aprimorada de limites. Agrademos a Will Drewry da Google Inc por comunicar esse problema.

  • ImageIO

    ID de CVE: CVE-2009-2188

    Disponível para: Windows XP e Vista

    Impacto: Visualizar uma imagem desenvolvida com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: Há saturação de buffer durante o manuseio de metadados EXIF. Visualizar uma imagem desenvolvida com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos. Esta atualização soluciona o problema através de verificação aprimorada de limites.

  • Safari

    ID de CVE: CVE-2009-2196

    Disponível para: Mac OS X versão 10.4.11, Mac OS X Server versão 10.4.11, Mac OS X versão 10.5.7, Mac OS X Server versão 10.5.7, Windows XP e Vista

    Impacto: Um site desenvolvido com códigos maliciosos pode ser promovido à visualização Top Sites do Safari

    Descrição: O Safari 4 apresentou o recurso Top Sites para fornecer uma visualização rápida dos sites favoritos do usuário. É possível que um site com códigos maliciosos promova páginas arbitrárias à visualização Top Sites por meio de ações automáticas. Isso poder ser usado para facilitar ataques de phishing. Esse problema é solucionado ao prevenir que as visitas aos sites automáticos afetem a lista Top Sites. Somente os sites visitados manualmente pelo usuário podem ser incluídos na lista Top Sites. Como uma observação, o Safari ativa a detecção de páginas fraudulentas por padrão. Desde o lançamento do recurso Top Sites, as páginas fraudulentas não são exibidas na visualização Top Sites. Agradecemos à Inferno of SecureThoughts.com por comunicar esse problema.

  • WebKit

    ID de CVE: CVE-2009-2195

    Disponível para: Mac OS X versão 10.4.11, Mac OS X Server versão 10.4.11, Mac OS X versão 10.5.7, Mac OS X Server versão 10.5.7, Windows XP e Vista

    Impacto: Visitar um site desenvolvido com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou execução arbitrária de códigos

    Descrição: Há saturação de buffer durante a análise de pontos flutuantes realizada pelo WebKit Visitar um site desenvolvido com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou execução arbitrária de códigos. Esta atualização soluciona o problema através de verificação aprimorada de limites. Agradecemos à Apple.

  • WebKit

    ID de CVE: CVE-2009-2200

    Disponível para: Mac OS X versão 10.4.11, Mac OS X Server versão 10.4.11, Mac OS X versão 10.5.7, Mac OS X Server versão 10.5.7, Windows XP e Vista

    Impacto: Ao visitar um site desenvolvido com códigos maliciosos e clicar em "Ir" durante a visualização de uma caixa de diálogo de plug-in pode resultar na divulgação de informações confidenciais

    Descrição: O WebKit permite que o atributo pluginspage do elemento "incorporar" consulte os URLs de arquivos de referência. Clicar em "Ir" na caixa de diálogo que aparece quando um tipo de plug-in desconhecido é recomendado redirecionará ao URL listado no atributo pluginspage. Isso talvez permita que um invasor remoto inicie URLs de arquivo no Safari e que ocorra a divulgação de dados confidenciais. Essa atualização soluciona esse problema ao restringir o esquema de URL do pluginspage para http ou https. Agradecemos a Alexios Fakos da n.runs AG por comunicar esse problema.

  • WebKit

    ID de CVE: CVE-2009-2199

    Disponível para: Mac OS X versão 10.4.11, Mac OS X Server versão 10.4.11, Mac OS X versão 10.5.7, Mac OS X Server versão 10.5.7, Windows XP e Vista

    Impacto: Caracteres com aparência semelhante em um URL podem ser usados para simular um site

    Descrição: O suporte a IDN (International Domain Name) e as fontes Unicode incorporadas no Safari podem ser usados para criar um URL contendo caracteres de aparência semelhante. Isso poderia ser usado em um site de códigos maliciosos para direcionar o usuário a uma página falsa, visualmente semelhante a um domínio legítimo. Essa atualização soluciona o problema ao complementar a lista do WebKit com caracteres semelhantes conhecidos. Os caracteres semelhantes são renderizados em Punnycore na barra de endereço. Agradecemos a Chris Weber da Casaba Security LLC, por comunicar esse problema.

Data da publicação: