Sobre o conteúdo de segurança do Safari 4.0.4

Este documento descreve o conteúdo de segurança do Safari 4.0.4.

Para garantir a proteção de seus clientes, a Apple não divulga, discute ou confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a segurança dos produtos da Apple, consulte o site Segurança do produto Apple.

Para obter informações sobre a chave de segurança PGP do produto Apple, consulte Como usar a chave de segurança PGP do produto Apple.

Sempre que possível, serão usadas IDs de CVE para indicar as vulnerabilidades e permitir que o usuário obtenha informações mais detalhadas.

Para saber mais sobre outras atualizações de segurança, consulte "Atualizações de segurança da Apple".

Safari 4.0.4

  • ColorSync

    ID de CVE: CVE-2009-2804

    Disponível para: Windows 7, Vista, XP

    Impacto: A visualização de uma imagem criada com códigos maliciosos com um perfil de cores incorporado pode resultar no encerramento inesperado de aplicativos ou na execução arbitrária de códigos

    Descrição: Há sobrecarga de inteiros durante o processamento de imagens com um perfil de cores incorporado, o que pode resultar na sobrecarga do buffer de pilhas. Abrir uma imagem criada com códigos maliciosos com um perfil de cores incorporado pode resultar no encerramento inesperado de aplicativos ou na execução arbitrária de códigos. Esse problema foi solucionado através de uma validação adicional dos perfis de cores. Esse problema não afeta sistemas Mac OS X versão 10.6. O problema já foi solucionado na Security Update 2009-005 para sistemas Mac OS X versão 10.5.8. Agradecemos à Apple.

  • libxml

    ID de CVE: CVE-2009-2414, CVE-2009-2416

    Disponível para: Mac OS X versão 10.4.11, Mac OS X Server versão 10.4.11, Windows 7, Vista, XP

    Impacto: A análise de conteúdo XML criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos

    Descrição: Há vários problemas de uso pós-liberação na libxml2, sendo que o mais grave pode causar encerramento inesperado de aplicativos. Esta atualização soluciona os problemas por meio de um melhor processamento de memória. Os problemas já foram solucionados no Mac OS X versão 10.6.2 e na Security Update 2009-006 para sistemas Mac OS X versão 10.5.8.

  • Safari

    ID de CVE: CVE-2009-2842

    Disponível para: Mac OS X versão 10.4.11, Mac OS X Server versão 10.4.11, Mac OS X versão 10.5.8, Mac OS X Server versão 10.5.8, Mac OS X versões 10.6.1 e 10.6.2, Mac OS X Server versões 10.6.1 e 10.6.2, Windows 7, Vista, XP

    Impacto: O uso das opções de menus de atalho em um site criado com códigos maliciosos pode causar a divulgação de informações locais

    Descrição: Há um problema no processamento de navegações do Safari iniciado pelas opções de menu de atalho "Abrir imagem em nova aba", "Abrir imagem em nova janela" ou "Abrir link em nova aba". O uso dessas opções em um site criado com códigos maliciosos poderia carregar um arquivo HTML local, causando a divulgação de informações confidenciais. O problema foi resolvido através da desativação das opções de menus de atalho listadas quando o destino de um link é um arquivo local.

  • WebKit

    ID de CVE: CVE-2009-2816

    Disponível para: Mac OS X versão 10.4.11, Mac OS X Server versão 10.4.11, Mac OS X versão 10.5.8, Mac OS X Server versão 10.5.8, Mac OS X versões 10.6.1 e 10.6.2, Mac OS X Server versões 10.6.1 e 10.6.2, Windows 7, Vista, XP

    Impacto: O acesso a um site criado com códigos maliciosos pode resultar em ações inesperadas em outros sites

    Descrição: Há um problema na implementação do Cross-Origin Resource Sharing do WebKit. Antes de permitir que uma página de determinada origem acesse um recurso de outra origem, o WebKit envia uma solicitação prévia ao último servidor para acesso do recurso. O WebKit inclui cabeçalhos HTTP personalizados especificados pela página que faz a solicitação na solicitação prévia. Isso pode facilitar a falsificação de solicitações entre sites. Esse problema foi solucionado através da remoção dos cabeçalhos HTTP personalizados das solicitações prévias. Agradecemos à Apple.

  • WebKit

    ID de CVE: CVE-2009-3384

    Disponível para: Windows 7, Vista, XP

    Impacto: O acesso a um servidor FTP criado com códigos maliciosos poderia resultar no encerramento inesperado de aplicativos, na divulgação de informações ou na execução arbitrária de códigos

    Descrição: Há várias vulnerabilidades no processamento de listagens de diretórios FTP do WebKit O acesso a um servidor FTP criado com códigos maliciosos poderia causar a divulgação de informações, o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esta atualização resolve os problemas através de uma análise aprimorada das listagens de diretórios FTP. Esses problemas não afetam o Safari em sistemas Mac OS X. Agradecemos a Michal Zalewski da Google Inc. por relatar esse problema.

  • WebKit

    ID de CVE: CVE-2009-2841

    Disponível para: Mac OS X versão 10.4.11, Mac OS X Server versão 10.4.11, Mac OS X versão 10.5.8, Mac OS X Server versão 10.5.8, Mac OS X versões 10.6.1 e 10.6.2, Mac OS X Server versão 10.6.1 e 10.6.2

    Impacto: O Mail pode carregar conteúdo de áudio e vídeo remoto quando o carregamento de imagens remotas está desativado

    Descrição: Quando o WebKit encontra um elemento de mídia em HTML 5 apontando para um recurso externo, ele não emite um retorno de chamada de carregamento de recurso para determinar se o recurso deve ser carregado. Isso pode resultar em solicitações indesejadas a servidores remotos. Por exemplo, o remetente de uma mensagem de e-mail em formato HTML poderia usar isso para descobrir se a mensagem foi lida. Esse problema foi solucionado através da geração de retornos de chamada de carregamento de recurso quando o WebKit encontra um elemento de mídia em HTML 5. Esse problema não afeta o Safari em sistemas Windows.

Data da publicação: