Este artigo foi arquivado e já não é actualizado pela Apple.

Acerca dos conteúdos de segurança do Safari 5.0 e do Safari 4.1

Este documento descreve os conteúdos de segurança do Safari 5.0 e do Safari 4.1.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.

Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo ""Como utilizar a chave PGP de segurança dos produtos Apple".

Sempre que possível, são utilizados CVE ID para designar as vulnerabilidades e disponibilizar mais informações.

Para saber mais sobre outras Atualizações de segurança, consulte o artigo "Atualizações de segurança da Apple".

Safari 5.0

  • ColorSync

    CVE-ID: CVE-2009-1726

    Disponível para: Windows 7, Vista, XP SP2 ou posterior

    Impacto: visualizar uma imagem criada com intuito malicioso, com um perfil ColorSync incorporado, poderá provocar o encerramento inesperado da aplicação ou a execução de códigos arbitrários

    Descrição: existe uma ultrapassagem do limite máximo da pilha durante o processamento de imagens com um perfil ColorSync incorporado. Abrir uma imagem criada com intuito malicioso, com um perfil ColorSync incorporado, poderá provocar o encerramento inesperado da aplicação ou a execução de códigos arbitrários. O problema foi resolvido através da validação melhorada de perfis ColorSync. Os nossos agradecimentos a Chris Evans da Google Security Team e a Andrzej Dyjak por terem comunicado este problema.

  • ImageIO

    CVE-ID: CVE-2010-1411

    Disponível para: Windows 7, Vista, XP SP2 ou posterior

    Impacto: abrir um ficheiro TIFF criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de códigos arbitrários

    Descrição: existem várias ultrapassagens do limite máximo de números inteiros no processamento de ficheiros TIFF que podem levar à ultrapassagem do limite máximo do buffer da pilha. Abrir um ficheiro TIFF criado com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de códigos arbitrários. Estes problemas foram resolvidos através da verificação melhorada dos limites. Os nossos agradecimentos a Kevin Finisterre da digitalmunition.com por ter comunicado estes problemas.

  • Safari

    ID CVE: CVE-2010-1384

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: um URL criado com intuito malicioso pode ser obscurecido, tornando os ataques de phishing mais eficazes

    Descrição: o Safari suporta a inclusão de informações do utilizador nos URLs, o que permite que os URLs especifiquem um nome de utilizador e uma palavra-passe para autenticar o utilizador no servidor mencionado. Estes URL são frequentemente utilizados para confundir os utilizadores, o que poderá potenciar os ataques de phishing. O Safari foi atualizado para apresentar um aviso antes de navegar para um URL HTTP ou HTTPS que contém informações do utilizador. Os nossos agradecimentos a Abhishek Arya da Google, Inc. por ter comunicado este problema.

  • Safari

    ID CVE: CVE-2010-1385

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existe um problema do tipo "use after free" no processamento de ficheiros PDF pelo Safari. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através do processamento melhorado de ficheiros PDF. Os nossos agradecimentos a Borja Marcos da Sarenet por ter comunicado este problema.

  • Safari

    ID CVE: CVE-2010-1750

    Disponível para: Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existe um problema do tipo "use after free" na gestão de janelas pelo Safari. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através da gestão melhorada das janelas. Este problema não afeta os sistemas Mac OS X.

  • WebKit

    ID CVE: CVE-2010-1388

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior

    Impacto: arrastar ou colar ligações ou imagens poderá levar à divulgação de informações

    Descrição: existe um problema de implementação no processamento de URLs na área de transferência pelo WebKit. Visitar um site criado com intuito malicioso e arrastar ou colar ligações ou imagens poderá enviar ficheiros do sistema do utilizador para um servidor remoto. Este problema foi resolvido através da validação adicional de URLs na área de transferência. Este problema não afeta os sistemas Windows. Os nossos agradecimentos a Eric Seidel da Google, Inc. por ter comunicado este problema.

  • WebKit

    ID CVE: CVE-2010-1389

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: arrastar ou colar uma seleção poderá provocar um ataque de execução de scripts entre sites

    Descrição: arrastar ou colar uma seleção de um site para outro pode permitir que scripts contidos na seleção sejam executados no contexto do novo site. Este problema foi resolvido através da validação adicional de conteúdos antes de uma operação de colar ou arrastar e largar. Os nossos agradecimentos a Paul Stone da Context Information Security por ter comunicado este problema.

  • WebKit

    ID CVE: CVE-2010-1390

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site que utilize codificação UTF-7 poderá provocar um ataque de execução de scripts entre sites

    Descrição: existe um problema de colocação em forma canónica no processamento de texto com codificação UTF-7 pelo WebKit. Uma cadeia citada em HTML pode não ser terminada, o que pode originar um ataque de execução de scripts entre sites ou outros problemas. Este problema foi resolvido ao remover o suporte de codificação UTF-7 no WebKit. Os nossos agradecimentos a Masahiro Yamada por ter comunicado este problema.

  • WebKit

    ID CVE: CVE-2010-1391

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar a criação de ficheiros graváveis por utilizadores em localizações arbitrárias

    Descrição: existe um problema com um caminho transversal no suporte do WebKit para Armazenamento local e bases de dados web SQL. Se acedido a partir de um esquema definido pela aplicação que contém "%2f" (/) ou "%5c" (\) e ".." na secção host do URL, um site criado com intuito malicioso pode fazer com que sejam criados ficheiros de base de dados fora do diretório designado. Este problema foi resolvido ao codificar os caracteres que possam ter um significado especial nos nomes dos caminhos. Este problema não afeta sites com servidor a partir de um esquema http: ou https:. Crédito: Apple.

  • WebKit

    ID CVE: CVE-2010-1392

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existe um problema do tipo "use after free" na apresentação de botões HTML pelo WebKit. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através da gestão melhorada da memória. Os nossos agradecimentos a Matthieu Bonetti da VUPEN Vulnerability Research Team e wushi da team509, em colaboração com o programa Zero Day Initiative da TippingPoint, por terem comunicado este problema.

  • WebKit

    ID CVE: CVE-2010-1393

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site criado com intuito malicioso poderá levar à divulgação de informações

    Descrição: existe um problema de divulgação de informações no processamento de Cascading Stylesheets pelo WebKit. Se estiver definido um atributo HREF de uma folha de estilo para um URL que origina um redirecionamento, os scripts na página poderão conseguir aceder ao URL redirecionado. Visitar um site criado com intuito malicioso poderá provocar a divulgação de URL sensíveis noutro site. O problema foi resolvido ao devolver o URL original aos scripts, e não o URL redirecionado.

  • WebKit

    ID CVE: CVE-2010-1119

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 ou posterior, Mac OS X Server v10.6.1 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

    Descrição: existe um problema do tipo "use after free" no processamento da manipulação de atributos pelo WebKit. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através do controlo da referência de memória melhorado. Os nossos agradecimentos a Vincenzo Iozzo e Ralf Philipp Weinmann, em colaboração com o programa Zero Day Initiative da TippingPoint, e Michal Zalewski da Google, Inc. por terem comunicado este problema.

  • WebKit

    ID CVE: CVE-2010-1394

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar um ataque de execução de scripts entre sites

    Descrição: existe um problema de conceção no processamento de fragmentos de documentos HTML pelo WebKit. Os conteúdos dos fragmentos de documentos HTML são processados antes de um fragmento ser adicionado a um documento. Aceder a um site criado com intuito malicioso poderá provocar um ataque de execução de scripts entre sites se um site legítimo tentar manipular um fragmento de documento que contenha dados não fidedignos. O problema foi resolvido ao garantir que o processamento do fragmento inicial não tem efeitos secundários no documento que criou o fragmento. Os nossos agradecimentos a Eduardo Vela Nava (sirdarckcat) da Google Inc. por ter comunicado este problema.

  • WebKit

    ID CVE: CVE-2010-1422

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: interagir com um site criado com intuito malicioso poderá resultar em ações inesperadas noutros sites

    Descrição: existe um problema de implementação no processamento do foco do teclado pelo WebKit. Se o foco do teclado for alterado durante o processo de premir as teclas, o WebKit pode fornecer um evento ao frame focado recentemente, em vez de ao frame que estava em foco quando a tecla foi premida. Um site criado com intuito malicioso pode manipular o utilizador a realizar uma ação inesperada, como iniciar uma compra. Este problema foi resolvido ao impedir o fornecimento de eventos de premir teclas no caso de o foco do teclado ser alterado durante o processamento. Os nossos agradecimentos a Michal Zalewski da Google Inc. por ter comunicado este problema.

  • WebKit

    ID CVE: CVE-2010-1395

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site malicioso poderá provocar um ataque de execução de scripts entre sites

    Descrição: existe um problema de gestão de âmbito no processamento de objetos do construtor DOM pelo WebKit. Aceder a um site malicioso poderá provocar um ataque de execução de scripts entre sites. Este problema foi resolvido através do processamento melhorado de objetos do construtor DOM. Os nossos agradecimentos a Gianni "gf3" Chiappetta da Runlevel6 por ter comunicado este problema.

  • WebKit

    ID CVE: CVE-2010-1396

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado de uma aplicação ou a execução de um código arbitrário

    Descrição: existe um problema do tipo "use after free" no processamento da remoção de elementos de contentores pelo WebKit. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através do controlo da referência de memória melhorado. Os nossos agradecimentos a wushi, da team509, em colaboração com o programa Zero Day Initiative da TippingPoint, por ter comunicado este problema.

  • WebKit

    ID CVE: CVE-2010-1397

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado de uma aplicação ou a execução de um código arbitrário

    Descrição: existe um problema do tipo "use after free" no processamento de uma seleção pelo WebKit quando a disposição é alterada. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através de um melhor processamento de seleções. Os nossos agradecimentos a wushi&Z, da team509, em colaboração com o programa Zero Day Initiative da TippingPoint, por ter comunicado este problema.

  • WebKit

    ID CVE: CVE-2010-1398

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado de uma aplicação ou a execução de um código arbitrário

    Descrição: existe um problema de corrupção de memória no processamento de inserções de listas ordenadas pelo WebKit. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através de um melhor processamento de inserções de lista ordenadas. Os nossos agradecimentos a wushi, da team509, em colaboração com o programa Zero Day Initiative da TippingPoint, por ter comunicado este problema.

  • WebKit

    ID CVE: CVE-2010-1399

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado de uma aplicação ou a execução de um código arbitrário

    Descrição: existe um problema de acesso à memória não inicializada no processamento de alterações de seleções em elementos de entrada de formulários pelo WebKit. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através de um melhor processamento de seleções. Os nossos agradecimentos a wushi, da team509, em colaboração com o programa Zero Day Initiative da TippingPoint, por ter comunicado este problema.

  • WebKit

    ID CVE: CVE-2010-1400

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado de uma aplicação ou a execução de um código arbitrário

    Descrição: existe um problema do tipo "use after free" no processamento de elementos de legendas pelo WebKit. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através de um melhor processamento de elementos de legendas. Os nossos agradecimentos a wushi da team509 em colaboração com a iDefense por ter comunicado este problema.

  • WebKit

    ID CVE: CVE-2010-1401

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado de uma aplicação ou a execução de um código arbitrário

    Descrição: existe um problema do tipo "use after free" no processamento pelo WebKit do pseudo-elemento ":first-letter" em folhas de estilo em cascata. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através de um melhor processamento do pseudo-elemento ":first-letter". Os nossos agradecimentos a wushi, da team509, em colaboração com o programa Zero Day Initiative da TippingPoint, por ter comunicado este problema.

  • WebKit

    ID CVE: CVE-2010-1402

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado de uma aplicação ou a execução de um código arbitrário

    Descrição: existe um problema de libertação dupla no processamento de ouvintes de eventos em documentos SVG pelo WebKit. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através do processamento melhorado de documentos SVG. Os nossos agradecimentos a wushi, da team509, em colaboração com o programa Zero Day Initiative da TippingPoint, por ter comunicado este problema.

  • WebKit

    ID CVE: CVE-2010-1403

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado de uma aplicação ou a execução de um código arbitrário

    Descrição: existe um problema de acesso à memória não inicializada no processamento de elementos "use" em documentos SVG pelo WebKit. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através de um melhor processamento de elementos "use" em documentos SVG. Os nossos agradecimentos a wushi da team509, em colaboração com o programa Zero Day Initiative da TippingPoint, por ter comunicado este problema.

  • WebKit

    ID CVE: CVE-2010-1404

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado de uma aplicação ou a execução de um código arbitrário

    Descrição: existe um problema do tipo "use after free" no processamento de documentos SVG com vários elementos "use" pelo WebKit. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através de um melhor processamento de elementos "use" em documentos SVG. Os nossos agradecimentos a wushi, da team509, em colaboração com o programa Zero Day Initiative da TippingPoint, por ter comunicado este problema.

  • WebKit

    ID CVE: CVE-2010-1410

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado de uma aplicação ou a execução de um código arbitrário

    Descrição: existe um problema de corrupção de memória no processamento de elementos "use" aninhados em documentos SVG pelo WebKit. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através de um processamento melhorado de elementos "use" aninhados em documentos SVG. Os nossos agradecimentos a Aki Helin, do OUSPG, por ter comunicado este problema.

  • WebKit

    ID CVE: CVE-2010-1749

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado de uma aplicação ou a execução de um código arbitrário

    Descrição: existe um problema do tipo "use after free" no processamento de "run-ins" de CSS pelo WebKit. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através do processamento melhorado de "run-ins" de CSS. Os nossos agradecimentos a wushi, da team509, em colaboração com o programa Zero Day Initiative da TippingPoint, por ter comunicado este problema.

  • WebKit

    ID CVE: CVE-2010-1405

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado de uma aplicação ou a execução de um código arbitrário

    Descrição: existe um problema do tipo "use after free" no processamento de elementos HTML com posicionamento vertical personalizado pelo WebKit. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através do controlo da referência de memória melhorado. Os nossos agradecimentos a Ojan Vafai da Google Inc. por ter comunicado este problema.

  • WebKit

    ID CVE: CVE-2010-1406

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site HTTPS que redirecione para um site HTTP poderá levar à divulgação de informações

    Descrição: quando o WebKit é redirecionado de um site HTTPS para um site HTTP, o cabeçalho de referência é transmitido para o site HTTP. Isto pode originar a divulgação de informações sensíveis contidas no URL do site HTTPS. Este problema foi resolvido ao não passar o cabeçalho de referência quando um site HTTPS redireciona para um site HTTP. Os nossos agradecimentos a Colin Percival da Tarsnap por ter comunicado este problema.

  • WebKit

    ID CVE: CVE-2010-1408

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site criado com intuito malicioso poderá originar o envio de dados especificados remotamente para portas TCP arbitrárias

    Descrição: existe um problema de truncagem de números inteiros no processamento de pedidos a portas TCP não predefinidas pelo WebKit. Visitar um site criado com intuito malicioso pode resultar no envio de dados especificados remotamente para portas TCP arbitrárias. Este problema foi resolvido ao garantir que os números das portas estão dentro do intervalo válido.

  • WebKit

    ID CVE: CVE-2010-1409

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site criado com intuito malicioso poderá permitir o envio de dados especificados remotamente para um servidor IRC

    Descrição: as portas comuns do serviço IRC não estão incluídas na lista de bloqueio de portas do WebKit. Visitar um site criado com intuito malicioso permite que sejam enviados dados especificados remotamente para um servidor IRC. Isto pode fazer com que o servidor execute ações não intencionais em nome do utilizador. Este problema foi resolvido ao adicionar as portas afetadas à lista de bloqueio de portas do WebKit.

  • WebKit

    ID CVE: CVE-2010-1412

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado de uma aplicação ou a execução de um código arbitrário

    Descrição: existe um problema do tipo "use after free" no processamento de eventos passar o cursor pelo WebKit. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através do processamento melhorado de eventos de passar o cursor. Os nossos agradecimentos a Dave Bowker da davebowker.com por ter comunicado este problema.

  • WebKit

    ID CVE: CVE-2010-1413

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: as credenciais NTLM de um utilizador podem ficar expostas a ataques do tipo "man in the middle"

    Descrição: em determinadas circunstâncias, o WebKit pode enviar credenciais NTLM em texto simples. Isto permitiria a um ao atacante "man in the middle" ver as credenciais NTLM. Este problema foi resolvido através de um melhor processamento de credenciais NTLM. Crédito: Apple.

  • WebKit

    ID CVE: CVE-2010-1414

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado de uma aplicação ou a execução de um código arbitrário

    Descrição: existe um problema do tipo "use after free" no processamento do método removeChild do DOM pelo WebKit. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através de um melhor processamento da remoção do elemento secundário. Os nossos agradecimentos a Mark Dowd da Azimuth Security por ter comunicado este problema.

  • WebKit

    ID CVE: CVE-2010-1415

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado de uma aplicação ou a execução de um código arbitrário

    Descrição: existe um problema de uso indevido de API no processamento de contextos libxml pelo WebKit. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através de um melhor processamento de objetos de contexto libxml. Os nossos agradecimentos a Aki Helin, do OUSPG, por ter comunicado este problema.

  • WebKit

    ID CVE: CVE-2010-1416

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site criado com intuito malicioso poderá divulgar imagens de outros sites

    Descrição: existe um problema de captura de imagens entre sites no WebKit. Ao utilizar uma tela com um padrão de imagem SVG, um site criado com intuito malicioso poderá carregar e capturar uma imagem de outro site. Este problema foi resolvido ao restringir a leitura de telas que contêm padrões carregados de outros sites. Os nossos agradecimentos a Chris Evans da Google Inc. por ter comunicado este problema.

  • WebKit

    ID CVE: CVE-2010-1417

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado de uma aplicação ou a execução de um código arbitrário

    Descrição: existe um problema de corrupção de memória no processamento pelo WebKit de conteúdo HTML com estilo CSS e com vários pseudo-seletores :after. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através de um melhor processamento de conteúdo HTML. Os nossos agradecimentos a wushi, da team509, por ter comunicado este problema.

  • WebKit

    ID CVE: CVE-2010-1418

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar um ataque de execução de scripts entre sites

    Descrição: existe um problema de validação de entrada no processamento pelo WebKit do atributo src do elemento de frame. Um atributo com um esquema javascript e espaços iniciais é considerado válido. Aceder a um site criado com intuito malicioso poderá provocar um ataque de execução de scripts entre sites. Esta atualização resolve o problema validando corretamente o frame.src antes de o URL ser desreferenciado. Os nossos agradecimentos a Sergey Glazunov por ter comunicado este problema.

  • WebKit

    ID CVE: CVE-2010-1419

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado de uma aplicação ou a execução de um código arbitrário

    Descrição: existe um problema do tipo "use after free" no processamento pelo WebKit da função de arrastar e largar quando a janela que atua como origem da operação de arrastar se fecha antes de a operação de arrastar estar concluída. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através da gestão melhorada da memória. Os nossos agradecimentos a kuzzcc e a Skylined da Equipa de segurança do Google Chrome por terem comunicado este problema.

  • WebKit

    ID CVE: CVE-2010-1421

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site criado com intuito malicioso poderá alterar os conteúdos da área de transferência

    Descrição: existe um problema de conceção na implementação da função execCommand de JavaScript. Uma página web criada com intuito malicioso poderá modificar os conteúdos da área de transferência sem qualquer interação do utilizador. Este problema foi resolvido ao autorizar apenas os comandos da área de transferência a serem executados exclusivamente se iniciados pelo utilizador. Crédito: Apple.

  • WebKit

    ID CVE: CVE-2010-0544

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar um ataque de execução de scripts entre sites

    Descrição: um problema no processamento pelo Webkit de URLs inválidos poderá provocar um ataque de execução de scripts entre sites quando visita um site criado com intuito malicioso. Este problema foi resolvido através de um melhor processamento de URL. Os nossos agradecimentos a Michal Zalewski da Google Inc. por ter comunicado este problema.

  • WebKit

    ID CVE: CVE-2010-1758

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado de uma aplicação ou a execução de um código arbitrário

    Descrição: existe um problema do tipo "use after free" no processamento de objetos de intervalo DOM pelo WebKit. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através de um melhor processamento de objetos DOM Range. Os nossos agradecimentos a Yaar Schnitman da Google Inc. por ter comunicado este problema.

  • WebKit

    ID CVE: CVE-2010-1759

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado de uma aplicação ou a execução de um código arbitrário

    Descrição: existe um problema do tipo "use after free" no processamento do método Node.normalize pelo WebKit. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através de um melhor processamento do método Node.normalize. Os nossos agradecimentos a Mark Dowd por ter comunicado este problema.

  • WebKit

    ID CVE: CVE-2010-1761

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado de uma aplicação ou a execução de um código arbitrário

    Descrição: existe um problema do tipo "use after free" no processamento de subdiretórios de documentos HTML pelo WebKit. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através de um melhor processamento de subárvores de documento HTML. Os nossos agradecimentos a James Robinson da Google Inc. por ter comunicado este problema.

  • WebKit

    ID CVE: CVE-2010-1762

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar um ataque de execução de scripts entre sites

    Descrição: existe um problema de conceção no processamento de HTML contido em elementos textarea. Visitar um site criado com intuito malicioso pode provocar um ataque de execução de scripts entre sites. O problema foi resolvido através da validação melhorada dos elementos textarea. Os nossos agradecimentos a Eduardo Vela Nava (sirdarckcat) da Google Inc. por ter comunicado este problema.

  • WebKit

    ID CVE: CVE-2010-1764

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site que redireciona envios de formulários poderá levar à divulgação de informações

    Descrição: existe um problema de conceção no processamento pelo WebKit de redirecionamentos HTTP. Quando um envio de formulário é redirecionado para um site que também executa um redirecionamento, as informações contidas no formulário enviado podem ser enviadas para o site terceiro. Este problema foi resolvido através do processamento melhorado de redirecionamentos HTTP. Os nossos agradecimentos a Marc Worrell da WhatWebWhat por ter comunicado este problema.

  • WebKit

    ID CVE: CVE-2010-1770

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado de uma aplicação ou a execução de um código arbitrário

    Descrição: existe um problema de verificação de tipos no processamento de nós de texto pelo WebKit. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através da verificação melhorada de tipos. Os nossos agradecimentos a wushi, da team509, em colaboração com o programa Zero Day Initiative da TippingPoint, por ter comunicado este problema.

  • WebKit

    ID CVE: CVE-2010-1771

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado de uma aplicação ou a execução de um código arbitrário

    Descrição: existe um problema do tipo "use after free" no processamento de tipos de letra pelo WebKit. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através do processamento melhorado de tipos de letra. Crédito: Apple.

  • WebKit

    ID CVE: CVE-2010-1774

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado de uma aplicação ou a execução de um código arbitrário

    Descrição: existe um problema de acesso a memória fora dos limites no processamento de tabelas HTML pelo WebKit. Visitar um site criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário. Este problema foi resolvido através da verificação melhorada dos limites. Os nossos agradecimentos a wushi, da team509, por ter comunicado este problema.

  • WebKit

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: um site criado com intuito malicioso poderá conseguir determinar os sites que um utilizador visitou

    Descrição: existe um problema de conceção no processamento pelo WebKit da pseudoclasse CSS :visited. Um site criado com intuito malicioso poderá conseguir determinar os sites que um utilizador visitou. Esta atualização limita a capacidade de as páginas web definirem o estilo de páginas com base nas ligações visitadas.

Nota: o Safari 5.0 e o Safari 4.1 lidam com o mesmo conjunto de problemas de segurança. O Safari 5.0 é disponibilizado para sistemas Mac OS X v10.5, Mac OS X v10.6 e Microsoft Windows. O Safari 4.1 é disponibilizado para sistemas Mac OS X v10.4.

Importante: as informações sobre produtos não fabricados pela Apple são disponibilizadas apenas para fins informativos e não constituem uma recomendação ou aprovação da Apple. Contacte o fornecedor para obter mais informações.

Data de publicação: