Acerca dos conteúdos de segurança do Safari 3.2
Este documento descreve os conteúdos de segurança do Safari 3.2.
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.
Para obter mais informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos Apple".
Sempre que possível, são utilizados CVE ID para designar as vulnerabilidades e disponibilizar mais informações.
Para saber mais sobre outras Atualizações de segurança, consulte o artigo "Atualizações de segurança da Apple".
Safari 3.2
Safari
ID CVE: CVE-2005-2096
Disponível para: Windows XP ou Vista
Impacto: várias vulnerabilidades no zlib 1.2.2
Descrição: existem várias vulnerabilidades no zlib 1.2.2, sendo que a mais grave poderá provocar uma recusa de serviço. Esta atualização resolve estes problemas através da atualização para o zlib 1.2.3. Estes problemas não afetam os sistemas Mac OS X. Os nossos agradecimentos a Robbie Joosten da bioinformatics@school e a David Gunnells da Universidade de Alabama em Birmingham por terem comunicado estes problemas.
Safari
ID CVE: CVE-2008-1767
Disponível para: Windows XP ou Vista
Impacto: o processamento de um documento XML poderá originar o encerramento inesperado da aplicação ou a execução de código arbitrário
Descrição: existe uma ultrapassagem do limite máximo do buffer da pilha na biblioteca libxslt. A visualização de uma página HTML criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário. Para obter mais informações sobre a correção aplicada, consultar http://xmlsoft.org/XSLT/ Este problema não afeta os sistemas Mac OS X que instalaram a Atualização de segurança 2008-007. Os nossos agradecimentos a Anthony de Almeida Lopes da Outpost24 AB e a Chris Evans da Google Security Team por terem comunicado este problema.
Safari
ID CVE: CVE-2008-3623
Disponível para: Windows XP ou Vista
Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existe uma ultrapassagem do limite máximo do buffer da pilha no processamento de espaços de cores pelo CoreGraphics. Visualizar uma imagem criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Esta atualização resolve o problema através da verificação melhorada dos limites. Crédito: Apple.
Safari
ID CVE: CVE-2008-2327
Disponível para: Windows XP ou Vista
Impacto: visualizar uma imagem TIFF criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existem vários problemas no libTIFF relacionados com o acesso a memória não inicializada no processamento de imagens TIFF com codificação LZW. Visualizar uma imagem TIFF criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Esta atualização resolve o problema através da inicialização adequada da memória e da validação adicional de imagens TIFF. Este problema é resolvido nos sistemas que executam o Mac OS X v10.5.5 ou posterior e nos sistemas Mac OS X v10.4.11 que instalaram a Atualização de segurança 2008-006. Crédito: Apple.
Safari
ID CVE: CVE-2008-2332
Disponível para: Windows XP ou Vista
Impacto: visualizar uma imagem TIFF criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existe um problema de corrupção de memória no processamento de imagens TIFF pelo ImageIO. Visualizar uma imagem TIFF criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Esta atualização resolve o problema através do processamento melhorado das imagens TIFF. Este problema é resolvido nos sistemas que executam o Mac OS X v10.5.5 ou posterior e nos sistemas Mac OS X v10.4.11 que instalaram a Atualização de segurança 2008-006. Os nossos agradecimentos a Robert Swiecki da Google Security Team por ter comunicado este problema.
Safari
ID CVE: CVE-2008-3608
Disponível para: Windows XP ou Vista
Impacto: visualizar uma imagem JPEG criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existe um problema de corrupção de memória no processamento de perfis ICC incorporados em imagens JPEG pelo ImageIO. Visualizar uma imagem JPEG criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Esta atualização resolve o problema através do processamento melhorado dos perfis ICC. Este problema é resolvido nos sistemas que executam o Mac OS X v10.5.5 ou posterior e nos sistemas Mac OS X v10.4.11 que instalaram a Atualização de segurança 2008-006. Crédito: Apple.
Safari
ID CVE: CVE-2008-3642
Disponível para: Windows XP ou Vista
Impacto: visualizar uma imagem criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existe uma ultrapassagem do limite máximo do buffer no processamento de imagens com um perfil ICC incorporado. Abrir uma imagem criada com intuito malicioso, com um perfil ICC incorporado, poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Esta atualização resolve o problema através da validação adicional de dos perfis ICC nas imagens. Este problema não afeta os sistemas Mac OS X que instalaram a Atualização de segurança 2008-007. Crédito: Apple.
Safari
ID CVE: CVE-2008-3644
Disponível para: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP ou Vista
Impacto: poderão ser divulgadas informações sensíveis a um utilizador da consola local
Descrição: desativar o preenchimento automático num campo de formulário poderá não prevenir que os dados inseridos sejam armazenados na cache da página do navegador. Isto poderá provocar a divulgação de informações sensíveis a um utilizador local. Esta atualização resolve o problema ao eliminar corretamente os dados do formulário. Os nossos agradecimentos a um investigador anónimo por ter comunicado este problema.
WebKit
ID CVE: CVE-2008-2303
Disponível para: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP ou Vista
Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário
Descrição: um problema relacionado com assinatura no processamento de índices de matrizes de JavaScript pelo Safari poderá provocar um acesso à memória fora dos limites. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Esta atualização resolve o problema ao efetuar a validação adicional dos índices de matrizes de JavaScript. Os nossos agradecimentos a SkyLined da Google por comunicar este problema.
WebKit
ID CVE: CVE-2008-2317
Disponível para: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP ou Vista
Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de código arbitrário
Descrição: existe um problema de corrupção de memória no processamento de elementos de folha de estilo pelo WebCore. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Esta atualização resolve o problema através da recolha de lixo melhorada. Os nossos agradecimentos a Peter Vreudegnhil da Zero Day Initiative da TippingPoint por comunicar este problema.
WebKit
CVE-ID: CVE-2008-4216
Disponível para: Mac OS X v10.4.11, Mac OS X v10.5.5, Windows XP ou Vista
Impacto: visitar um site criado com intuito malicioso poderá levar à divulgação de informações sensíveis
Descrição: a interface do plug-in do WebKit não impede que os plug-ins iniciem URL locais. Visitar um site criado com intuito malicioso poderá permitir que um atacante remoto inicie ficheiros locais no Safari, o que poderá levar à divulgação de informações sensíveis. Esta atualização resolve o problema ao restringir os tipos de URL que podem ser lançados através da interface do plug-in. Os nossos agradecimentos a Billy Rios da Microsoft e a Nitesh Dhanjani da Ernst & Young por terem comunicado este problema.
Importante: a menção de sites e de produtos de terceiros destina-se apenas a efeitos de informação, e não constitui uma recomendação nem aprovação. A Apple não assume qualquer responsabilidade relativamente à seleção, desempenho ou utilização de informações ou produtos encontrados em sites de terceiros. A Apple fornece estas informações apenas como comodidade para os nossos utilizadores. A Apple não testou as informações encontradas nestes sites e não garante a respetiva precisão ou fiabilidade. Existem riscos inerentes à utilização de quaisquer informações ou produtos encontrados na Internet e a Apple não assume qualquer responsabilidade a este respeito. Tenha em atenção que um site de terceiros é independente da Apple e que a Apple não tem controlo sobre os conteúdos do respetivo site. Contacte o fornecedor para obter mais informações.