Sobre o conteúdo de segurança do Safari 10.1

Este documento descreve o conteúdo de segurança do Safari 10.1.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.

Para obter mais informações sobre segurança, consulte a página sobre Segurança do Produto Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

Safari 10.1

Lançado em 27 de março de 2017

CoreGraphics

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias na validação de entradas.

CVE-2017-2444: Mei Wang da 360 GearTeam

JavaScriptCore

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2017-2491: Apple

Entrada adicionada em 2 de maio de 2017

JavaScriptCore

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impacto: processar uma página da web criada com códigos maliciosos pode causar a execução universal de scripts entre sites

Descrição: um problema de protótipo foi resolvido por meio de melhorias na lógica.

CVE-2017-2492: lokihardt do Google Project Zero

Entrada atualizada em segunda-feira, 24 de abril de 2017

Safari

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impacto: acessar um site malicioso pode levar à falsificação da barra de endereços

Descrição: um problema de gerenciamento de estados foi resolvido ao desativar a entrada de texto até o carregamento da página de destino.

CVE-2017-2376: um pesquisador anônimo, Chris Hlady da Google Inc, Yuyang Zhou do Tencent Security Platform Department (security.tencent.com), Muneaki Nishimura (nishimunea) da Recruit Technologies Co., Ltd., Michal Zalewski da Google Inc, um pesquisador anônimo

Safari

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impacto: processar conteúdo da web criado com códigos maliciosos pode apresentar planilhas de autenticação sobre sites arbitrários

Descrição: havia um problema de falsificação e negação de serviço no processamento de autenticação HTTP. Esse problema foi resolvido ao tornar as planilhas de autenticação HTTP não modais.

CVE-2017-2389: ShenYeYinJiu do Tencent Security Response Center, TSRC

Safari

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impacto: acessar um site malicioso ao clicar em um link pode levar à falsificação da interface de usuário

Descrição: havia um problema de falsificação no processamento de avisos do FaceTime. Esse problema foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-2453: xisigr do Xuanwu Lab da Tencent (tencent.com)

Preenchimento automático do início de sessão do Safari

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impacto: um usuário local pode conseguir acessar itens bloqueados das chaves

Descrição: um problema no processamento das chaves foi resolvido por meio de melhorias no gerenciamento dos itens das chaves.

CVE-2017-2385: Simon Woodside da MedStack

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impacto: arrastar e soltar um link criado com códigos maliciosos pode levar à falsificação de favoritos ou à execução arbitrária de códigos

Descrição: havia um problema de validação na criação de favoritos. Esse problema foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-2378: xisigr do Xuanwu Lab da Tencent (tencent.com)

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impacto: processar conteúdo da web criado com códigos maliciosos pode extrair dados de origem cruzada

Descrição: um problema de acesso de protótipo foi resolvido por meio de melhorias no processamento de exceções.

CVE-2017-2386: André Bargull

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias na validação de entradas.

CVE-2017-2394: Apple

CVE-2017-2396: Apple

CVE-2016-9642: Gustavo Grieco

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.

CVE-2017-2395: Apple

CVE-2017-2454: Ivan Fratric do Google Project Zero, Zheng Huang da Baidu Security Lab em parceria com a Zero Day Initiative da Trend Micro

CVE-2017-2455: Ivan Fratric do Google Project Zero

CVE-2017-2459: Ivan Fratric do Google Project Zero

CVE-2017-2460: Ivan Fratric do Google Project Zero

CVE-2017-2464: Jeonghoon Shin, natashenka do Google Project Zero

CVE-2017-2465: Zheng Huang e Wei Yuan do Baidu Security Lab

CVE-2017-2466: Ivan Fratric do Google Project Zero

CVE-2017-2468: lokihardt do Google Project Zero

CVE-2017-2469: lokihardt do Google Project Zero

CVE-2017-2470: lokihardt do Google Project Zero

CVE-2017-2476: Ivan Fratric do Google Project Zero

CVE-2017-2481: 0011 em parceria com a Zero Day Initiative da Trend Micro

Entrada atualizada em 20 de junho de 2017

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de confusão de tipos foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-2415: Kai Kang do Xuanwu Lab da Tencent (tencent.com)

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impacto: processar conteúdo da web criado com códigos maliciosos pode fazer com que a Política de Segurança de Conteúdo não seja imposta

Descrição: havia um problema de acesso na Política de Segurança de Conteúdo. Esse problema foi resolvido por meio de melhorias nas restrições de acesso.

CVE-2017-2419: Nicolai Grødum da Cisco Systems

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar um consumo de memória elevado

Descrição: um problema de consumo descontrolado de recursos foi resolvido por meio de melhorias no processamento de expressões regulares.

CVE-2016-9643: Gustavo Grieco

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a divulgação da memória de processo

Descrição: havia um problema de divulgação de informações no processamento de shaders OpenGL. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2017-2424: Paul Thomson (usando a ferramenta GLFuzz) do Multicore Programming Group, Imperial College London

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-2433: Apple

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impacto: processar conteúdo da web criado com códigos maliciosos pode extrair dados de origem cruzada

Descrição: havia diversos problemas de validação no processamento do carregamento de páginas. Esse problema foi resolvido por meio de melhorias na lógica.

CVE-2017-2364: lokihardt do Google Project Zero

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impacto: um site malicioso pode extrair dados de origem cruzada

Descrição: havia um problema de validação no processamento do carregamento de páginas. Esse problema foi resolvido por meio de melhorias na lógica.

CVE-2017-2367: lokihardt do Google Project Zero

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução universal de scripts entre sites

Descrição: havia um problema de lógica no processamento de objetos de quadro. Esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2017-2445: lokihardt do Google Project Zero

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: havia um problema de lógica no processamento das funções de modo estrito. Esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2017-2446: natashenka do Google Project Zero

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impacto: acessar um site criado com códigos maliciosos pode comprometer as informações do usuário

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-2447: natashenka do Google Project Zero

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.

CVE-2017-2463: Kai Kang (4B5F5F4B) do Xuanwu Lab da Tencent (tencent.com) em parceria com a Zero Day Initiative da Trend Micro

Entrada adicionada em 28 de março de 2017

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2017-2471: Ivan Fratric do Google Project Zero

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução universal de scripts entre sites

Descrição: havia um problema de lógica no processamento de quadros. Esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2017-2475: lokihardt do Google Project Zero

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impacto: processar conteúdo da web criado com códigos maliciosos pode extrair dados de origem cruzada

Descrição: havia um problema de validação no processamento de elementos. Esse problema foi resolvido por meio de melhorias na validação.

CVE-2017-2479: lokihardt do Google Project Zero

Entrada adicionada em 28 de março de 2017

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impacto: processar conteúdo da web criado com códigos maliciosos pode extrair dados de origem cruzada

Descrição: havia um problema de validação no processamento de elementos. Esse problema foi resolvido por meio de melhorias na validação.

CVE-2017-2480: lokihardt do Google Project Zero

CVE-2017-2493: lokihardt do Google Project Zero

Entrada atualizada em segunda-feira, 24 de abril de 2017

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impacto: acessar um site malicioso pode levar à falsificação da barra de endereços

Descrição: um problema de interface de usuário inconsistente foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2017-2486: um pesquisador anônimo

Entrada adicionada em 30 de março de 2017

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impacto: um aplicativo pode executar códigos arbitrários

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-2392: Max Bazaliy da Lookout

Entrada adicionada em 30 de março de 2017

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.

CVE-2017-2457: lokihardt do Google Project Zero

Entrada adicionada em 30 de março de 2017

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.

CVE-2017-7071: Kai Kang (4B5F5F4B) do Xuanwu Lab da Tencent (tencent.com) em parceria com a Zero Day Initiative da Trend Micro

Entrada adicionada em 23 de agosto de 2017

Vinculações de JavaScript do WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impacto: processar conteúdo da web criado com códigos maliciosos pode extrair dados de origem cruzada

Descrição: havia diversos problemas de validação no processamento do carregamento de páginas. Esse problema foi resolvido por meio de melhorias na lógica.

CVE-2017-2442: lokihardt do Google Project Zero

Web Inspector do WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impacto: fechar uma janela enquanto pausado no depurador pode causar o encerramento inesperado de aplicativos

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-2377: Vicki Pfau

Web Inspector do WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-2405: Apple

Outros reconhecimentos

Safari

Queremos agradecer a Flyin9 (ZhenHui Lee) pela ajuda.

Webkit

Queremos agradecer a Yosuke HASEGAWA da Secure Sky Technology Inc. pela ajuda.

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: