Esse artigo foi arquivado e não será mais atualizado pela Apple.

Sobre o conteúdo de segurança do Safari 4.0.4.

Este documento descreve o conteúdo de segurança do Safari 4.0.4.

Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário tenha mais informações.

Para saber mais sobre outras Atualizações de Segurança, consulte "Atualizações de Segurança da Apple".

Safari 4.0.4.

  • ColorSync

    CVE-ID: CVE-2009-2804

    Disponível para: Windows 7, Vista, XP

    Impacto: ver uma imagem criada com códigos maliciosos com um perfil de cores integrado pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: existe um estouro de inteiro no processamento de imagens com um perfil de cores incorporado, o que pode levar a um estouro de buffer de pilha. Abrir uma imagem criada com códigos maliciosos com um perfil de cores integrado pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos. O problema foi resolvido por meio da validação adicional de perfis de cores. Esse problema não afeta os sistemas Mac OS X 10.6. O problema já foi resolvido na Atualização de Segurança 2009-005 para sistemas Mac OS X 10.5.8. Crédito: Apple.

  • libxml

    CVE-ID: CVE-2009-2414, CVE-2009-2416

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Windows 7, Vista, XP

    Impacto: a análise de conteúdo XML criado com códigos maliciosos pode levar ao encerramento inesperado do aplicativo

    Descrição: existem vários problemas de "uso após a liberação" na libxml2, o mais grave deles podendo levar ao encerramento inesperado do aplicativo. Esta atualização resolve os problemas por meio de melhorias no processamento da memória. Os problemas já foram resolvidos no Mac OS X 10.6.2 e na Atualização de Segurança 2009-006 para sistemas Mac OS X 10.5.8.

  • Safari

    CVE-ID: CVE-2009-2842

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 e 10.6.2, Mac OS X Server 10.6.1 e 10.6.2, Windows 7, Vista, XP

    Impacto: o uso de opções de menu de atalho em um site criado com códigos maliciosos pode levar à divulgação de informações locais

    Descrição: existe um problema no processamento de navegações iniciadas pelo Safari por meio das opções do menu de atalho "Abrir Imagem em Nova Aba", "Abrir Imagem em Nova Janela" ou "Abrir Link em Nova Aba". O uso dessas opções em um site criado com códigos maliciosos pode carregar um arquivo HTML local, levando à divulgação de informações confidenciais. O problema é resolvido desativando as opções do menu de atalho indicadas quando o destino de um link é um arquivo local.

  • WebKit

    CVE-ID: CVE-2009-2816

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 e 10.6.2, Mac OS X Server 10.6.1 e 10.6.2, Windows 7, Vista, XP

    Impacto: acessar um site criado com códigos maliciosos pode resultar em ações inesperadas em outros sites

    Descrição: existe um problema na implementação do compartilhamento de recursos entre origens no WebKit. Antes de permitir que uma página de uma origem acesse um recurso em outra origem, o WebKit envia uma solicitação de comprovação ao último servidor para acesso ao recurso. O WebKit inclui cabeçalhos HTTP personalizados especificados pela página solicitante na solicitação de simulação. Isso pode facilitar a falsificação de solicitações entre sites. Esse problema é resolvido removendo cabeçalhos HTTP personalizados de solicitações de simulação. Crédito: Apple.

  • WebKit

    CVE-ID: CVE-2009-3384

    Disponível para: Windows 7, Vista, XP

    Impacto: acessar um servidor FTP criado com códigos maliciosos pode resultar no encerramento inesperado do aplicativo, na divulgação de informações ou na execução arbitrária de códigos

    Descrição: existem diversas vulnerabilidades no processamento de listagens de diretórios FTP pelo WebKit. Acessar um servidor FTP criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo, a divulgação de informações ou a execução arbitrária de códigos. Esta atualização resolve os problemas por meio de melhorias na análise de listagens de diretórios FTP. Esses problemas não afetam o Safari em sistemas Mac OS X. Agradecemos a Michal Zalewski, da Google Inc., por comunicar esses problemas.

  • WebKit

    CVE-ID: CVE-2009-2841

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 e 10.6.2, Mac OS X Server 10.6.1 e 10.6.2

    Impacto: o Mail pode carregar áudio remoto e conteúdo de vídeo quando o carregamento remoto de imagens está desativado

    Descrição: quando o WebKit encontra um elemento de mídia HTML 5 apontando para um recurso externo, ele não emite um retorno de chamada de carregamento de recurso para determinar se o recurso deve ser carregado. Isso pode resultar em solicitações indesejadas a servidores remotos. Por exemplo, o remetente de uma mensagem de e-mail formatada em HTML poderia usar isso para determinar se a mensagem foi lida. Esse problema foi resolvido gerando retornos de chamada de carregamento de recursos quando o WebKit encontra um elemento de mídia HTML 5. Esse problema não afeta o Safari em sistemas Windows.

Importante: as informações sobre produtos de outros fabricantes são apenas para fins informativos e não constituem nenhum tipo de aval ou recomendação da Apple. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: