Sobre o conteúdo de segurança do Safari 4.0.5

Este documento descreve o conteúdo de segurança do Safari 4.0.5.

Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário tenha mais informações.

Para saber mais sobre outras Atualizações de Segurança, consulte "Atualizações de Segurança da Apple".

Safari 4.0.5

  • ColorSync

    CVE-ID: CVE-2010-0040

    Disponível para: Windows 7, Vista, XP

    Impacto: ver uma imagem criada com códigos maliciosos com um perfil de cores integrado pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: existe um estouro de inteiro no processamento de imagens com um perfil de cores incorporado, o que pode levar a um estouro de buffer de pilha. Abrir uma imagem criada com códigos maliciosos com um perfil de cores integrado pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos. O problema foi resolvido por meio da validação adicional de perfis de cores. Esse problema não afeta sistemas Mac OS X. Agradecemos a Sebastien Renaud, da equipe de pesquisa de vulnerabilidades da VUPEN, por comunicar esse problema.

  • ImageIO

    CVE-ID: CVE-2009-2285

    Disponível para: Windows 7, Vista, XP

    Impacto: a visualização de uma imagem TIFF criada com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: ocorre um estouro de buffer no processamento de imagens TIFF pelo ImageIO. A visualização de uma imagem TIFF criada com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos. Esse problema foi resolvido por meio de melhorias na verificação de limites. No caso de sistemas Mac OS X 10.6, esse problema foi resolvido no Mac OS X 10.6.2. No caso de sistemas Mac OS X 10.5, foi resolvido na Atualização de Segurança 2010-001.

  • ImageIO

    CVE-ID: CVE-2010-0041

    Disponível para: Windows 7, Vista, XP

    Impacto: acessar um site criado com códigos maliciosos pode resultar no envio de dados da memória do Safari para o site

    Descrição: existe um problema de acesso à memória não inicializada no processamento de imagens BMP pelo ImageIO. Acessar um site criado com códigos maliciosos pode resultar no envio de dados da memória do Safari para o site. Esse problema foi resolvido por meio de melhorias no processamento de memória e na validação adicional de imagens BMP. Agradecemos a Matthew 'j00ru' Jurczyk da Hispasec por comunicar esse problema.

  • ImageIO

    CVE-ID: CVE-2010-0042

    Disponível para: Windows 7, Vista, XP

    Impacto: acessar um site criado com códigos maliciosos pode resultar no envio de dados da memória do Safari para o site

    Descrição: existe um problema de acesso à memória não inicializada no processamento de imagens TIFF pelo ImageIO. Acessar um site criado com códigos maliciosos pode resultar no envio de dados da memória do Safari para o site. Esse problema foi resolvido por meio de melhorias no processamento de memória e na validação adicional de imagens BMP. Agradecemos a Matthew 'j00ru' Jurczyk da Hispasec por comunicar esse problema.

  • ImageIO

    CVE-ID: CVE-2010-0043

    Disponível para: Windows 7, Vista, XP

    Impacto: processar uma imagem TIFF criada com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: existe um problema de memória corrompida no processamento de imagens TIFF. Processar uma imagem TIFF criada com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos. Esse problema foi resolvido por meio de melhorias no processamento da memória. Agradecemos a Gus Mueller, da Flying Meat, por comunicar esse problema.

  • PubSub

    CVE-ID: CVE-2010-0044

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 ou posterior, Mac OS X Server 10.6.1 ou posterior, Windows 7, Vista, XP

    Impacto: acessar ou atualizar um feed pode resultar na configuração de um cookie, mesmo que o Safari esteja configurado para bloquear cookies

    Descrição: existe um problema de implementação no processamento de cookies definidos por feeds RSS e Atom. Acessar ou atualizar um feed pode resultar na configuração de um cookie, mesmo que o Safari esteja configurado para bloquear cookies na preferência "Aceitar Cookies". Esta atualização resolve o problema respeitando a preferência ao atualizar ou visualizar feeds.

  • Safari

    CVE-ID: CVE-2010-0045

    Disponível para: Windows 7, Vista, XP

    Impacto: acessar um site criado com códigos maliciosos pode causar a execução arbitrária de códigos

    Descrição: um problema no processamento de esquemas de URL externos pelo Safari pode fazer com que um arquivo local seja aberto em resposta a um URL encontrado em uma página da Web. Acessar um site criado com códigos maliciosos pode causar a execução arbitrária de códigos. Esta atualização resolve o problema por meio de melhorias na validação de URLs. Esse problema não afeta sistemas Mac OS X. Agradecemos a Billy Rios e à Microsoft Vulnerability Research (MSVR) por comunicar esse problema.

  • WebKit

    CVE-ID: CVE-2010-0046

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 ou posterior, Mac OS X Server 10.6.1 ou posterior, Windows 7, Vista, XP

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: existe um problema de memória corrompida no processamento de argumentos CSS format() pelo WebKit. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi resolvido por meio de melhorias no processamento de argumentos CSS format(). Agradecemos a Robert Swiecki, da Google Inc., por comunicar esse problema.

  • WebKit

    CVE-ID: CVE-2010-0047

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 ou posterior, Mac OS X Server 10.6.1 ou posterior, Windows 7, Vista, XP

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: existe um problema de "uso após a liberação" durante o processamento de conteúdo de fallback de elementos de objetos HTML. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi resolvido por meio de melhorias no rastreamento de referência de memória. Agradecemos a wushi da team509, em parceria com a Zero Day Initiative da TippingPoint, por comunicar esse problema.

  • WebKit

    CVE-ID: CVE-2010-0048

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 ou posterior, Mac OS X Server 10.6.1 ou posterior, Windows 7, Vista, XP

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: existe um problema de "uso após a liberação" na análise de documentos XML do WebKit. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi resolvido por meio de melhorias no rastreamento de referência de memória. Agradecemos a wushi da team509, em parceria com a Zero Day Initiative da TippingPoint, por comunicar esse problema.

  • Webkit

    CVE-ID: CVE-2010-0049

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 ou posterior, Mac OS X Server 10.6.1 ou posterior, Windows 7, Vista, XP

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: existe um problema de "uso após a liberação" no processamento de elementos HTML que contêm texto exibido da direita para a esquerda. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi resolvido por meio de melhorias no rastreamento de referência de memória. Agradecemos a wushi da team509, em parceria com a Zero Day Initiative da TippingPoint, por comunicar esse problema.

  • WebKit

    CVE-ID: CVE-2010-0050

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 ou posterior, Mac OS X Server 10.6.1 ou posterior, Windows 7, Vista, XP

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: existe um problema de "uso após a liberação" no processamento de tags HTML aninhadas incorretamente pelo WebKit. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi resolvido por meio de melhorias no rastreamento de referência de memória. Agradecemos a wushi da team509, em parceria com a Zero Day Initiative da TippingPoint, por comunicar esse problema.

  • WebKit

    CVE-ID: CVE-2010-0051

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 ou posterior, Mac OS X Server 10.6.1 ou posterior, Windows 7, Vista, XP

    Impacto: acessar um site criado com códigos maliciosos pode causar a divulgação de informações confidenciais

    Descrição: ocorre um problema de implementação no processamento de solicitações de folhas de estilo de origem cruzada pelo WebKit. Acessar um site criado com códigos maliciosos pode causar a divulgação de conteúdo de recursos protegidos em outro site. Esta atualização resolve o problema por meio de uma validação adicional nas folhas de estilo carregadas durante uma solicitação de origens cruzadas.

  • WebKit

    CVE-ID: CVE-2010-0052

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 ou posterior, Mac OS X Server 10.6.1 ou posterior, Windows 7, Vista, XP

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: existe um problema de "uso após a liberação" no processamento de retornos de chamada para elementos HTML pelo WebKit. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi resolvido por meio de melhorias no rastreamento de referência de memória. Crédito: Apple.

  • WebKit

    CVE-ID: CVE-2010-0053

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 ou posterior, Mac OS X Server 10.6.1 ou posterior, Windows 7, Vista, XP

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: existe um problema de "uso após a liberação" na renderização de conteúdo com uma propriedade de exibição CSS definida como "run-in". Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi resolvido por meio de melhorias no rastreamento de referência de memória. Agradecemos a wushi da team509, em parceria com a Zero Day Initiative da TippingPoint, por comunicar esse problema.

  • WebKit

    CVE-ID: CVE-2010-0054

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.1 ou posterior, Mac OS X Server 10.6.1 ou posterior, Windows 7, Vista, XP

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado do aplicativo ou a execução arbitrária de códigos

    Descrição: existe um problema de "uso após a liberação" no processamento de elementos de imagem HTML pelo WebKit. Acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi resolvido por meio de melhorias no rastreamento de referência de memória. Crédito: Apple.

Importante: as informações sobre produtos de outros fabricantes são apenas para fins informativos e não constituem nenhum tipo de aval ou recomendação da Apple. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: