Sobre o conteúdo de segurança do Safari 5.0.1 e Safari 4.1.1

Este documento descreve o conteúdo de segurança do Safari 5.0.1 e Safari 4.1.1.

Para garantir a proteção de seus clientes, a Apple não divulga, discute ou confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a segurança dos produtos Apple, consulte o site Segurança do produto Apple.

Para obter informações sobre a chave de segurança PGP dos produtos Apple, consulte Como usar a chave de segurança PGP do produto Apple.

Sempre que possível, serão usadas IDs de CVE para indicar as vulnerabilidades e permitir que o usuário obtenha informações mais detalhadas.

Para saber mais sobre outras atualizações de segurança, consulte "Atualizações de segurança da Apple".

Safari 5.0.1 e Safari 4.1.1

  • Safari

    ID de CVE: CVE-2010-1778

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: Acessar um feed RSS criado com códigos maliciosos pode fazer com que arquivos do sistema do usuário sejam enviados para um servidor remoto

    Descrição: Ocorre um problema de transmissão de scripts entre sites durante processamento de feeds RSS pelo Safari. Acessar um feed RSS criado com códigos maliciosos pode fazer com que arquivos do sistema do usuário sejam enviados para um servidor remoto. Esse problema foi solucionado através de melhorias no processamento de feeds RSS. Agradecemos a Billy Rios da Google Security Team por comunicar esse problema.

  • Safari

    ID de CVE: CVE-2010-1796

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: O recurso Preenchimento Automático do Safari pode divulgar informações para sites sem interação do usuário

    Descrição: O recurso Preenchimento Automático do Safari pode preencher automaticamente um formulário da web usando informações designadas da sua Agenda do Mac OS X, do Outlook ou do Catálogo de Endereços do Windows.  É necessária uma ação deliberada do usuário para que o Preenchimento Automático funcione dentro de um formulário da web. No entanto, existe um problema de implementação que permite que um site criado com códigos maliciosos acione o Preenchimento Automático sem interação do usuário. Isso pode resultar na divulgação das informações presentes no Cartão da Agenda do usuário. Para acionar o problema, as duas situações a seguir são necessárias. Em primeiro lugar, nas Preferências no Safari, em Preenchimento Automático, a caixa de seleção "Preencher automaticamente formulários da web usando informações do meu cartão da Agenda" deve estar marcada. Em segundo lugar, Agenda do usuário deve ter um Cartão designado como "Meu Cartão". Somente as informações nesse cartão específico podem ser acessadas através do Preenchimento Automático. Esse problema foi solucionado através da proibição de que o Preenchimento Automático use informações sem ação do usuário. Dispositivos que executam o iOS não são afetados. Agradecemos a Jeremiah Grossman da WhiteHat Security por comunicar esse problema.

  • WebKit

    ID de CVE: CVE-2010-1780

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: Ocorre um problema do tipo "uso após livre" durante o processamento de foco de elementos pelo WebKit. Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi solucionado através de melhorias no processamento de foco de elementos. Agradecemos a Tony Chang da Google, Inc. por comunicar esse problema.

  • WebKit

    ID de CVE: CVE-2010-1782

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: Ocorre um problema de corrupção de memória durante a conversão de elementos alinhados pelo WebKit. Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi solucionado através de melhorias na verificação de limites. Agradecemos a wushi, da team509, por comunicar esse problema.

  • WebKit

    ID de CVE: CVE-2010-1783

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: Ocorre um problema de corrupção de memória durante o processamento de modificações dinâmicas de nós de texto pelo WebKit. Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi solucionado através de melhorias no gerenciamento de memória.

  • WebKit

    ID de CVE: CVE-2010-1784

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: Ocorre um problema de corrupção de memória durante o processamento de contadores CSS pelo WebKit. Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi solucionado através de melhorias no gerenciamento de memória. Agradecemos a wushi da team509 da Zero Day Initiative da TippingPoint por comunicar esse problema.

  • WebKit

    ID de CVE: CVE-2010-1785

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: Ocorre um problema de acesso à memória não inicializada durante o processamento de elementos :first-letter e :first-line falsos em elementos de texto SVG pelo WebKit. Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi resolvido através da não conversão de elementos :first-letter e :first-line falsos em elementos de texto SVG. Agradecemos a wushi da team509, que trabalha na Zero Day Initiative da TippingPoint, por comunicar esse problema.

  • WebKit

    ID de CVE: CVE-2010-1786

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: Ocorre um problema do tipo "uso após livre" durante o processamento de elementos foreignObject em documentos SVG pelo WebKit. Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi solucionado através de validação adicional de documentos SVG. Agradecemos a wushi da team509, que trabalha na Zero Day Initiative da TippingPoint, por comunicar esse problema.

  • WebKit

    ID de CVE: CVE-2010-1787

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: Ocorre um problema de corrupção de memória durante o processamento de elementos flutuantes em documentos SVG pelo WebKit. Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi solucionado através de melhorias no gerenciamento de memória. Agradecemos a wushi da team509 da Zero Day Initiative da TippingPoint por comunicar esse problema.

  • WebKit

    ID de CVE: CVE-2010-1788

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: Ocorre um problema de corrupção de memória durante o processamento de elementos do tipo "use" em documentos SVG pelo WebKit. Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi solucionado através de melhorias no processamento de elementos "use" em documentos SVG. Agradecemos a Justin Schuh da Google, Inc. por comunicar esse problema.

  • WebKit

    ID de CVE: CVE-2010-1789

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: Ocorre um problema de estouro de buffer de pilha durante o processamento de objetos de sequências de código JavaScript pelo WebKit. Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi solucionado através de melhorias na verificação de limites. Agradecemos à Apple.

  • WebKit

    ID de CVE: CVE-2010-1790

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: Ocorre um problema de reentrância durante o processamento de fragmentos JavaScript compilados pontualmente pelo WebKit. Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi solucionado através de melhorias de sincronização.

  • WebKit

    ID de CVE: CVE-2010-1791

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: Ocorre um problema de condição de assinatura durante o processamento de matrizes JavaScript pelo WebKit. Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi resolvido através de melhorias nos índices da matriz JavaScript. Agradecemos a Natalie Silvanovich por comunicar esse problema.

  • WebKit

    ID de CVE: CVE-2010-1792

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: Ocorre um problema de corrupção de memória durante o processamento de expressões regulares pelo WebKit. Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi solucionado através de melhorias no processamento de expressões regulares. Agradecemos a Peter Varga da Universidade de Szeged por comunicar esse problema.

  • WebKit

    ID de CVE: CVE-2010-1793

    Disponível para: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2 ou posterior, Mac OS X Server 10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: Ocorre um problema do tipo "uso após livre" durante o processamento de elementos "use" e "font-face" em documentos SVG pelo WebKit. Acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos. Esse problema foi solucionado através de melhorias no processamento de elementos "use" e "font-face" em documentos SVG. Agradecemos a Aki Helin da OUSPG por comunicar esse problema.

Data da publicação: