Acerca do conteúdo de segurança do Safari 5.0.1 e Safari 4.1.1

Este documento descreve o conteúdo de segurança do Safari 5.0.1 e Safari 4.1.1.

Para protecção dos nossos clientes, a Apple não divulga, debate ou confirma problemas de segurança até ter sido efectuada uma investigação completa e estarem disponíveis quaisquer correcções ou versões necessárias. Para obter mais informações sobre a segurança dos produtos Apple, consulte o website Segurança dos produtos Apple.

Para obter informações sobre a chave PGP para segurança dos produtos Apple, consulte o artigo "Como utilizar a chave PGP para segurança dos produtos Apple".

Sempre que possível, são utilizadas ID de CVE para referenciar as vulnerabilidades e oferecer mais informações.

Para obter mais informações sobre outras actualizações de segurança, consulte o artigo "Actualizações de segurança da Apple".

Safari 5.0.1 e Safari 4.1.1

  • Safari

    ID CVE: CVE-2010-1778

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: aceder a um conteúdo RSS criado com intuito malicioso pode provocar o envio de ficheiros do sistema do utilizador para um servidor remoto

    Descrição: existe um problema de emissão de scripts entre sítios no processamento de conteúdos RSS. Aceder a um conteúdo RSS criado com intuito malicioso pode provocar o envio de ficheiros do sistema do utilizador para um servidor remoto. Este problema é resolvido através de um melhor processamento de conteúdos RSS. Os nossos agradecimentos a Billy Rios, da Equipa de Segurança do Google, por comunicar este problema.

  • Safari

    ID CVE: CVE-2010-1796

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: a funcionalidade de Preenchimento Automático do Safari pode divulgar informações para websites sem a interacção do utilizador

    Descrição: a funcionalidade de Preenchimento Automático do Safari pode preencher automaticamente formulários da Web utilizando informações da Agenda do Mac OS X, do Outlook ou do Livro de Endereços do Windows.  Por concepção, é necessária a acção do utilizador para que o Preenchimento Automático funcione num formulário da Web. Existe um problema de implementação que permite que um website criado com intuito malicioso active o Preenchimento Automático sem a interacção do utilizador. Esta situação pode dar origem à divulgação de informações existentes no cartão da Agenda. Para activar o problema, são necessárias as duas situações seguintes. Primeiro, nas Preferências do Safari, em Preenchimento Automático, a caixa de verificação "Preencher automaticamente formulários da Web utilizando informações do cartão da Agenda" tem de estar seleccionada. Segundo, o cartão da Agenda do utilizador tem de ter um cartão com a designação "Ficha pessoal". A funcionalidade de Preenchimento Automático acede apenas às informações existentes neste cartão específico. Este problema é resolvido através da interdição da funcionalidade de Preenchimento Automático utilizar as informações sem acção do utilizador. Os dispositivos que executam o iOS não são afectados. Os nossos agradecimentos a Jeremiah Grossman, da WhiteHat Security, por comunicar este problema.

  • WebKit

    ID CVE: CVE-2010-1780

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: a visita a um website criado com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existe um problema de "utilização após libertação de memória" no processamento de eventos de sobreposição pelo WebKit. A visita a um website criado com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário. Este problema é resolvido através de um melhor processamento do elemento focus. Os nossos agradecimentos a Tony Chang, da Google, Inc., por comunicar este problema.

  • WebKit

    ID CVE: CVE-2010-1782

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: a visita a um website criado com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existe um problema de memória danificada no processamento de elementos incorporados pelo WebKit. A visita a um website criado com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário. Este problema é resolvido através de uma melhor verificação dos limites. Os nossos agradecimentos a wushi, da team509, por comunicar este problema.

  • WebKit

    ID CVE: CVE-2010-1783

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: a visita a um website criado com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existe um problema de corrupção de memória no processamento de modificação dinâmica de nós de texto pelo WebKit. A visita a um website criado com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário. Este problema é resolvido através de uma melhor gestão da memória.

  • WebKit

    ID CVE: CVE-2010-1784

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: a visita a um website criado com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existe um problema de corrupção de memória no processamento de contadores CSS pelo WebKit. A visita a um website criado com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário. Este problema é resolvido através de uma melhor gestão da memória. Os nossos agradecimentos a wushi, da team509, colaborador no programa Zero Day Initiative, da TippingPoint, por comunicar este problema.

  • WebKit

    ID CVE: CVE-2010-1785

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: a visita a um website criado com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existe um problema de acesso à memória não inicializada no processamento de pseudo elementos :first-letter e :first-line em elementos de texto SVG pelo WebKit. A visita a um website criado com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário. Este problema é resolvido através do não processamento de pseudo elementos :first-letter ou :first-line em elementos de texto SVG. Os nossos agradecimentos a wushi, da team509, colaborador no programa Zero Day Initiative, da TippingPoint, por comunicar este problema.

  • WebKit

    ID CVE: CVE-2010-1786

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: a visita a um website criado com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existe um problema de "utilização após libertação de memória" no processamento de elementos foreignObject em documentos SVG pelo WebKit. A visita a um website criado com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário. Este problema é resolvido através de uma validação adicional em documentos SVG. Os nossos agradecimentos a wushi, da team509, colaborador no programa Zero Day Initiative, da TippingPoint, por comunicar este problema.

  • WebKit

    ID CVE: CVE-2010-1787

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: a visita a um website criado com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existe um problema de corrupção da memória no processamento de elementos em documentos SVG pelo WebKit. A visita a um website criado com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário. Este problema é resolvido através de uma melhor gestão da memória. Os nossos agradecimentos a wushi, da team509, colaborador no programa Zero Day Initiative, da TippingPoint, por comunicar este problema.

  • WebKit

    ID CVE: CVE-2010-1788

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: a visita a um website criado com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existe um problema de corrupção da memória no processamento de elementos "use" em documentos SVG pelo WebKit. A visita a um website criado com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário. Este problema é resolvido através de um melhor processamento de elementos "use" em documentos SVG. Os nossos agradecimentos a Justin Schuh, da Google, Inc., por comunicar este problema.

  • WebKit

    ID CVE: CVE-2010-1789

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: a visita a um website criado com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existe uma sobrecarga do limite máximo da memória intermédia no processamento de objectos de cadeia do JavaScript pelo WebKit. A visita a um website criado com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário. Este problema é resolvido através de uma melhor verificação dos limites. Agradecimentos: Apple.

  • WebKit

    ID CVE: CVE-2010-1790

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: a visita a um website criado com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existe um problema de reentrada no processamento, pelo WebKit, de fragmentos de JavaScript compilados recentemente. A visita a um website criado com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário. Este problema é resolvido através de uma melhor sincronização.

  • WebKit

    ID CVE: CVE-2010-1791

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: a visita a um website criado com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existe um problema de assinatura no processamento de matrizes de JavaScript pelo WebKit. A visita a um website criado com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário. Este problema é resolvido através de um melhor processamento dos índices de matrizes de JavaScript. Os nossos agradecimentos a Natalie Silvanovich por comunicar este problema.

  • WebKit

    ID CVE: CVE-2010-1792

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: a visita a um website criado com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existe um problema de corrupção de memória no processamento de expressões regulares pelo WebKit. A visita a um website criado com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário. Este problema é resolvido através de um melhor processamento de expressões regulares. Os nossos agradecimentos a Peter Varga, da Universidade de Szeged, por comunicar este problema.

  • WebKit

    ID CVE: CVE-2010-1793

    Disponível para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 ou posterior, Mac OS X Server v10.6.2 ou posterior, Windows 7, Vista, XP SP2 ou posterior

    Impacto: a visita a um website criado com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário

    Descrição: existe um problema de "utilização após libertação de memória" no processamento de elementos "font-face" e "use" em documentos SVG pelo WebKit. A visita a um website criado com intuito malicioso pode provocar o encerramento inesperado da aplicação ou a execução de código arbitrário. Este problema é resolvido através de um melhor processamento de elementos "font-face" e "use" em documentos SVG. Os nossos agradecimentos a Aki Helin, do OUSPG, por comunicar este problema.

Data de publicação: