Acerca dos conteúdos de segurança do Safari 3.1.1

Este documento descreve os conteúdos de segurança do Safari 3,1.1, que podem ser descarregados e instalados através das preferências da Atualização de software ou a partir das Descargas da Apple.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.

Para obter informações acerca da chave PGP de segurança dos produtos Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos Apple".

Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.

Para obter mais informações acerca de outras Atualizações de segurança, consulte o artigo "Atualizações de segurança da Apple".

Safari 3.1.1

Safari

ID CVE: CVE-2007-2398

Disponível para: Windows XP ou Vista

Impacto: um site criado com intuito malicioso poderá controlar os conteúdos da barra de endereços.

Descrição: um problema de temporização no Safari 3.1 permite que uma página web altere os conteúdos da barra de endereços sem carregar os conteúdos da página correspondente. Tal faz com que os conteúdos de um site legítimo possam ser falsificados, permitindo assim a recolha de credenciais dos utilizadores ou outras informações. Este problema foi resolvido no Safari Beta 3.0.2, mas reapareceu no Safari 3.1. Esta atualização resolve o problema ao restaurar os conteúdos da barra de endereços caso um novo pedido de página web tenha sido encerrado. Este problema não afeta os sistemas Mac OS X.

Safari

CVE-ID: CVE-2008-1024

Disponível para: Windows XP ou Vista

Impacto: aceder a um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário.

Descrição: existe um problema de corrupção de memória na descarga de ficheiros do Safari. Ao incentivar um utilizador a descarregar um ficheiro com um nome criado com intuito malicioso, um atacante poderá provocar o encerramento inesperado de uma aplicação ou a execução de um código arbitrário. Esta atualização resolve o problema através do processamento melhorado das descargas de ficheiros. Este problema não afeta os sistemas Mac OS X.

WebKit

ID CVE: CVE-2008-1025

Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2, Windows XP ou Vista

Impacto: visitar um site malicioso poderá resultar na execução de scripts entre sites.

Descrição: existe um problema no processamento de URL por parte do WebKit que contêm um caráter de dois pontos no nome do host. Abrir um URL criado com intuito malicioso poderá provocar um ataque de execução de scripts entre sites. Esta atualização resolve o problema através do processamento melhorado dos URL. Os nossos agradecimentos a Robert Swiecki da Equipa de segurança de informações da Google e a David Bloomer por terem comunicado este problema.

WebKit

ID CVE: CVE-2008-1026

Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2, Windows XP ou Vista

Impacto: a visualização de uma página web criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário.

Descrição: existe um problema de ultrapassagem do limite máximo do buffer no processamento de expressões regulares do JavaScript por parte do WebKit. O problema pode ser desencadeado através do JavaScript ao processar expressões regulares com grandes contagens de repetições agrupadas. Tal poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Esta atualização resolve o problema ao efetuar a validação adicional de expressões regulares do JavaScript. Os nossos agradecimentos a Charlie Miller, Jake Honoroff e Mark Daniel, em colaboração com o programa Zero Day Initiative da TippingPoint, por terem comunicado este problema.