Sobre o conteúdo de segurança do Safari 10.1
Este documento descreve o conteúdo de segurança do Safari 10.1.
Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.
Para obter mais informações sobre segurança, consulte a página sobre Segurança do Produto Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
Safari 10.1
CoreGraphics
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias na validação de entradas.
CVE-2017-2444: Mei Wang da 360 GearTeam
JavaScriptCore
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2017-2491: Apple
JavaScriptCore
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impacto: processar uma página da web criada com códigos maliciosos pode causar a execução universal de scripts entre sites
Descrição: um problema de protótipo foi resolvido por meio de melhorias na lógica.
CVE-2017-2492: lokihardt do Google Project Zero
Safari
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impacto: acessar um site malicioso pode levar à falsificação da barra de endereços
Descrição: um problema de gerenciamento de estados foi resolvido ao desativar a entrada de texto até o carregamento da página de destino.
CVE-2017-2376: um pesquisador anônimo, Chris Hlady da Google Inc, Yuyang Zhou do Tencent Security Platform Department (security.tencent.com), Muneaki Nishimura (nishimunea) da Recruit Technologies Co., Ltd., Michal Zalewski da Google Inc, um pesquisador anônimo
Safari
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impacto: processar conteúdo da web criado com códigos maliciosos pode apresentar planilhas de autenticação sobre sites arbitrários
Descrição: havia um problema de falsificação e negação de serviço no processamento de autenticação HTTP. Esse problema foi resolvido ao tornar as planilhas de autenticação HTTP não modais.
CVE-2017-2389: ShenYeYinJiu do Tencent Security Response Center, TSRC
Safari
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impacto: acessar um site malicioso ao clicar em um link pode levar à falsificação da interface de usuário
Descrição: havia um problema de falsificação no processamento de avisos do FaceTime. Esse problema foi resolvido por meio de melhorias na validação de entradas.
CVE-2017-2453: xisigr do Xuanwu Lab da Tencent (tencent.com)
Preenchimento automático do início de sessão do Safari
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impacto: um usuário local pode conseguir acessar itens bloqueados das chaves
Descrição: um problema no processamento das chaves foi resolvido por meio de melhorias no gerenciamento dos itens das chaves.
CVE-2017-2385: Simon Woodside da MedStack
WebKit
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impacto: arrastar e soltar um link criado com códigos maliciosos pode levar à falsificação de favoritos ou à execução arbitrária de códigos
Descrição: havia um problema de validação na criação de favoritos. Esse problema foi resolvido por meio de melhorias na validação de entradas.
CVE-2017-2378: xisigr do Xuanwu Lab da Tencent (tencent.com)
WebKit
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impacto: processar conteúdo da web criado com códigos maliciosos pode extrair dados de origem cruzada
Descrição: um problema de acesso de protótipo foi resolvido por meio de melhorias no processamento de exceções.
CVE-2017-2386: André Bargull
WebKit
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias na validação de entradas.
CVE-2017-2394: Apple
CVE-2017-2396: Apple
CVE-2016-9642: Gustavo Grieco
WebKit
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2017-2395: Apple
CVE-2017-2454: Ivan Fratric do Google Project Zero, Zheng Huang da Baidu Security Lab em parceria com a Zero Day Initiative da Trend Micro
CVE-2017-2455: Ivan Fratric do Google Project Zero
CVE-2017-2459: Ivan Fratric do Google Project Zero
CVE-2017-2460: Ivan Fratric do Google Project Zero
CVE-2017-2464: Jeonghoon Shin, natashenka do Google Project Zero
CVE-2017-2465: Zheng Huang e Wei Yuan do Baidu Security Lab
CVE-2017-2466: Ivan Fratric do Google Project Zero
CVE-2017-2468: lokihardt do Google Project Zero
CVE-2017-2469: lokihardt do Google Project Zero
CVE-2017-2470: lokihardt do Google Project Zero
CVE-2017-2476: Ivan Fratric do Google Project Zero
CVE-2017-2481: 0011 em parceria com a Zero Day Initiative da Trend Micro
WebKit
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de confusão de tipos foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-2415: Kai Kang do Xuanwu Lab da Tencent (tencent.com)
WebKit
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impacto: processar conteúdo da web criado com códigos maliciosos pode fazer com que a Política de Segurança de Conteúdo não seja imposta
Descrição: havia um problema de acesso na Política de Segurança de Conteúdo. Esse problema foi resolvido por meio de melhorias nas restrições de acesso.
CVE-2017-2419: Nicolai Grødum da Cisco Systems
WebKit
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar um consumo de memória elevado
Descrição: um problema de consumo descontrolado de recursos foi resolvido por meio de melhorias no processamento de expressões regulares.
CVE-2016-9643: Gustavo Grieco
WebKit
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a divulgação da memória de processo
Descrição: havia um problema de divulgação de informações no processamento de shaders OpenGL. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2017-2424: Paul Thomson (usando a ferramenta GLFuzz) do Multicore Programming Group, Imperial College London
WebKit
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2017-2433: Apple
WebKit
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impacto: processar conteúdo da web criado com códigos maliciosos pode extrair dados de origem cruzada
Descrição: havia diversos problemas de validação no processamento do carregamento de páginas. Esse problema foi resolvido por meio de melhorias na lógica.
CVE-2017-2364: lokihardt do Google Project Zero
WebKit
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impacto: um site malicioso pode extrair dados de origem cruzada
Descrição: havia um problema de validação no processamento do carregamento de páginas. Esse problema foi resolvido por meio de melhorias na lógica.
CVE-2017-2367: lokihardt do Google Project Zero
WebKit
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução universal de scripts entre sites
Descrição: havia um problema de lógica no processamento de objetos de quadro. Esse problema foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2017-2445: lokihardt do Google Project Zero
WebKit
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: havia um problema de lógica no processamento das funções de modo estrito. Esse problema foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2017-2446: natashenka do Google Project Zero
WebKit
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impacto: acessar um site criado com códigos maliciosos pode comprometer as informações do usuário
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-2447: natashenka do Google Project Zero
WebKit
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2017-2463: Kai Kang (4B5F5F4B) do Xuanwu Lab da Tencent (tencent.com) em parceria com a Zero Day Initiative da Trend Micro
WebKit
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2017-2471: Ivan Fratric do Google Project Zero
WebKit
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução universal de scripts entre sites
Descrição: havia um problema de lógica no processamento de quadros. Esse problema foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2017-2475: lokihardt do Google Project Zero
WebKit
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impacto: processar conteúdo da web criado com códigos maliciosos pode extrair dados de origem cruzada
Descrição: havia um problema de validação no processamento de elementos. Esse problema foi resolvido por meio de melhorias na validação.
CVE-2017-2479: lokihardt do Google Project Zero
WebKit
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impacto: processar conteúdo da web criado com códigos maliciosos pode extrair dados de origem cruzada
Descrição: havia um problema de validação no processamento de elementos. Esse problema foi resolvido por meio de melhorias na validação.
CVE-2017-2480: lokihardt do Google Project Zero
CVE-2017-2493: lokihardt do Google Project Zero
WebKit
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impacto: acessar um site malicioso pode levar à falsificação da barra de endereços
Descrição: um problema de interface de usuário inconsistente foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2017-2486: um pesquisador anônimo
WebKit
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impacto: um aplicativo pode executar códigos arbitrários
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-2392: Max Bazaliy da Lookout
WebKit
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2017-2457: lokihardt do Google Project Zero
WebKit
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2017-7071: Kai Kang (4B5F5F4B) do Xuanwu Lab da Tencent (tencent.com) em parceria com a Zero Day Initiative da Trend Micro
Vinculações de JavaScript do WebKit
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impacto: processar conteúdo da web criado com códigos maliciosos pode extrair dados de origem cruzada
Descrição: havia diversos problemas de validação no processamento do carregamento de páginas. Esse problema foi resolvido por meio de melhorias na lógica.
CVE-2017-2442: lokihardt do Google Project Zero
Web Inspector do WebKit
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impacto: fechar uma janela enquanto pausado no depurador pode causar o encerramento inesperado de aplicativos
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2017-2377: Vicki Pfau
Web Inspector do WebKit
Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.4
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2017-2405: Apple
Outros reconhecimentos
Safari
Queremos agradecer a Flyin9 (ZhenHui Lee) pela ajuda.
Webkit
Queremos agradecer a Yosuke HASEGAWA da Secure Sky Technology Inc. pela ajuda.
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.