Acerca dos conteúdos de segurança do Safari 5.0.1 e do Safari 4.1.1
Este documento descreve os conteúdos de segurança do Safari 5.0.1 e do Safari 4.1.1.
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.
Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo "Como utilizar a chave PGP de segurança dos produtos Apple".
Sempre que possível, são utilizados CVE ID para designar as vulnerabilidades e disponibilizar mais informações.
Para saber mais sobre outras Atualizações de segurança, consulte o artigo "Atualizações de segurança da Apple".
Safari 5.0.1 e Safari 4.1.1
Safari
ID CVE: CVE-2010-1778
Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior
Impacto: aceder a um feed RSS criado com intuito malicioso pode provocar o envio de ficheiros do sistema do utilizador para um servidor remoto
Descrição: emissão de scripts entre sites no processamento de feeds RSS no Safari. Aceder a um feed RSS criado com intuito malicioso pode provocar o envio de ficheiros do sistema do utilizador para um servidor remoto. Este problema foi resolvido através de um melhor processamento de feeds RSS. Os nossos agradecimentos a Billy Rios, da Google Security Team, por ter comunicado este problema.
Safari
ID CVE: CVE-2010-1796
Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior
Impacto: a funcionalidade Preenchimento automático do Safari pode revelar informações a sites sem interação do utilizador
Descrição: a funcionalidade Preenchimento automático do Safari pode preencher automaticamente formulários Web com informações designadas nos Contactos do Mac OS X, no Outlook ou no Livro de endereços do Windows. Por predefinição, é necessária uma ação do utilizador para o Preenchimento automático funcionar num formulário Web. Existe um problema de implementação que permite a sites criados com intuito malicioso ativarem o Preenchimento automático sem interação do utilizador. Isto pode resultar na divulgação de informações incluídas na Ficha de Contactos do utilizador. Para acionar o problema, são necessárias as duas situações seguintes. Em primeiro lugar, nas Preferências do Safari, em Preenchimento automático, a caixa de verificação "Preencher automaticamente formulários Web com informações da minha Ficha de Contactos" tem de estar selecionada. Em segundo lugar, os Contactos do utilizador têm de ter uma Ficha designada como "Ficha pessoal". Apenas as informações nessa ficha específica são acedidas através do Preenchimento automático. Este problema foi resolvido ao proibir o Preenchimento automático de utilizar informações sem ação do utilizador. Não afeta dispositivos com iOS. Os nossos agradecimentos a Jeremiah Grossman, da WhiteHat Security, por ter comunicado este problema.
WebKit
ID CVE: CVE-2010-1780
Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior
Impacto: aceder a um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existe um problema de "use after free" (utilização após libertação de memória) no processamento de eventos de sobreposição pelo WebKit. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através de um melhor processamento de eventos de sobreposição. Os nossos agradecimentos a Tony Chang, da Google, Inc., por ter comunicado este problema.
WebKit
ID CVE: CVE-2010-1782
Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior
Impacto: aceder a um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existe um problema de memória danificada no processamento de elementos incorporados pelo WebKit. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através da verificação melhorada dos limites. Os nossos agradecimentos a wushi, da team509, por ter comunicado este problema.
WebKit
ID CVE: CVE-2010-1783
Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior
Impacto: aceder a um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existe um problema de corrupção de memória no processamento de modificação dinâmica de nós de texto pelo WebKit. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através da gestão melhorada da memória.
WebKit
ID CVE: CVE-2010-1784
Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior
Impacto: aceder a um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existe um problema de corrupção de memória no processamento de contadores CSS pelo WebKit. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através da gestão melhorada da memória. Os nossos agradecimentos a wushi, da team509, em colaboração com o programa Zero Day Initiative da TippingPoint, por ter comunicado este problema.
WebKit
ID CVE: CVE-2010-1785
Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior
Impacto: aceder a um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existe um problema de acesso à memória não inicializada no processamento de pseudo elementos :first-letter e :first-line em elementos de texto SVG pelo WebKit. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através do não processamento de pseudo elementos :first-letter ou :first-line em elementos de texto SVG. Os nossos agradecimentos a wushi, da team509, em colaboração com o programa Zero Day Initiative da TippingPoint, por ter comunicado este problema.
WebKit
ID CVE: CVE-2010-1786
Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior
Impacto: aceder a um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existe um problema de "use after free" (utilização após libertação de memória) no processamento de elementos foreignObject em documentos SVG pelo WebKit. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através de uma validação adicional em documentos SVG. Os nossos agradecimentos a wushi, da team509, em colaboração com o programa Zero Day Initiative da TippingPoint, por ter comunicado este problema.
WebKit
ID CVE: CVE-2010-1787
Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior
Impacto: aceder a um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existe um problema de corrupção da memória no processamento de elementos em documentos SVG pelo WebKit. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através da gestão melhorada da memória. Os nossos agradecimentos a wushi, da team509, em colaboração com o programa Zero Day Initiative da TippingPoint, por ter comunicado este problema.
WebKit
ID CVE: CVE-2010-1788
Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior
Impacto: aceder a um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existe um problema de corrupção da memória no processamento de elementos "use" em documentos SVG pelo WebKit. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através de um melhor processamento de elementos "use" em documentos SVG. Os nossos agradecimentos a Justin Schuh, da Google, Inc. por ter comunicado este problema.
WebKit
ID CVE: CVE-2010-1789
Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior
Impacto: aceder a um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existe uma sobrecarga do limite máximo da memória intermédia no processamento de objetos de cadeia do JavaScript pelo WebKit. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através da verificação melhorada dos limites. Crédito: Apple.
WebKit
ID CVE: CVE-2010-1790
Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior
Impacto: aceder a um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existe um problema de reentrada no processamento de fragmentos de JavaScript compilados recentemente pelo WebKit. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através de uma melhor segmentação.
WebKit
ID CVE: CVE-2010-1791
Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior
Impacto: aceder a um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existe um problema de assinatura no processamento de matrizes de JavaScript pelo WebKit. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema é resolvido através de um melhor processamento dos índices de matrizes de JavaScript. Os nossos agradecimentos a Natalie Silvanovich por ter comunicado este problema.
WebKit
ID CVE: CVE-2010-1792
Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior
Impacto: aceder a um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existe um problema de corrupção de memória no processamento de expressões regulares pelo WebKit. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através de um melhor processamento de expressões regulares. Os nossos agradecimentos a Peter Varga, da Universidade de Szeged, por ter comunicado este problema.
WebKit
ID CVE: CVE-2010-1793
Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior
Impacto: aceder a um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: existe um problema de "use after free" (utilização após libertação de memória) no processamento de elementos "font-face" e "use" em documentos SVG pelo WebKit. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através de um melhor processamento de elementos "font-face" e "use" em documentos SVG. Os nossos agradecimentos a Aki Helin, do OUSPG, por ter comunicado este problema.
Importante: a menção de sites e de produtos de terceiros destina-se apenas a efeitos de informação, e não constitui uma recomendação nem aprovação. A Apple não assume qualquer responsabilidade relativamente à seleção, desempenho ou utilização de informações ou produtos encontrados em sites de terceiros. A Apple fornece estas informações apenas como comodidade para os nossos utilizadores. A Apple não testou as informações encontradas nestes sites e não garante a respetiva precisão ou fiabilidade. Existem riscos inerentes à utilização de quaisquer informações ou produtos encontrados na Internet e a Apple não assume qualquer responsabilidade a este respeito. Tenha em atenção que um site de terceiros é independente da Apple e que a Apple não tem controlo sobre os conteúdos do respetivo site. Contacte o fornecedor para obter mais informações.