Sobre o conteúdo de segurança do Safari 9.1

Este documento descreve o conteúdo de segurança do Safari 9.1.

Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre Segurança do Produto Apple, consulte o site Segurança do Produto Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte Como usar a Chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras atualizações de segurança, consulte Atualizações de segurança da Apple.

Safari 9.1

• Safari

  Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11.4

  Impacto: acessar um site criado com códigos mal-intencionados pode levar à falsificação da interface de usuário

  Descrição: havia um problema no qual o texto de uma caixa de diálogo incluía uma página de texto. Esse problema foi resolvido com a remoção desse texto.

  ID de CVE

  CVE-2009-2197: Alexios Fakos da n.runs AG

• Downloads do Safari

  Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11.4

  Impacto: acessar uma página criada com códigos mal-intencionados pode levar a uma negação de serviço do sistema

  Descrição: havia um problema de validação de entrada de conteúdo no processamento de certos arquivos. Esse problema foi corrigido por meio de verificações adicionais durante a expansão do arquivo.

  ID de CVE

  CVE-2016-1771: Russ Cox

• Principais sites do Safari

  Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11.4

  Impacto: havia a possibilidade de um site rastrear informações confidenciais de usuário

  Descrição: havia um problema de armazenamento de cookies na página de sites principais. Esse problema foi resolvido com melhorias no gerenciamento do estado.

  ID de CVE

  CVE-2016-1772: WoofWagly

• WebKit

  Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11.4

  Impacto: havia a possibilidade de um site rastrear informações confidenciais de usuário

  Descrição: havia um problema no processamento dos URLs de anexo. Esse problema foi resolvido por meio da melhoria no processamento de URLs.

  ID de CVE

  CVE-2016-1781: Devdatta Akhawe da Dropbox, Inc.

• WebKit

  Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11.4

  Impacto: o processamento de conteúdo da web desenvolvido com códigos mal-intencionados pode causar a execução arbitrária de códigos

  Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento de memória.

  ID de CVE

  CVE-2016-1778 : 0x1byte, que trabalha na Zero Day Initiative (ZDI) da Trend, e MicroYang Zhao da CM Security

  CVE-2016-1783: Mihai Parparita do Google

• WebKit

  Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11.4

  Impacto: um site criado com códigos mal-intencionados podia acessar portas restritas em servidores arbitrários

  Descrição: o problema de redirecionamento de portas foi resolvido por meio de validações adicionais de portas.

  ID de CVE

  CVE-2016-1782: Muneaki Nishimura (nishimunea) da Recruit Technologies Co., Ltd.

• WebKit

  Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11.4

  Impacto: acessar um site criado com códigos mal-intencionados pode revelar a localização atual de um usuário

  Descrição: havia um problema na análise de solicitações de localização geográfica. Esse problema foi corrigido por meio de melhorias na validação da origem de segurança para solicitações de localização geográfica.

  ID de CVE

  CVE-2016-1779: xisigr do Xuanwu LAB da Tencent (www.tencent.com)

• WebKit

  Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11.4

  Impacto: abrir um URL criado com códigos mal-intencionados pode levar à divulgação de informações confidenciais do usuário

  Descrição: havia um problema no redirecionamento de URL quando o XSS Auditor (Auditor XSS) era usado no modo de bloqueio. Esse problema foi resolvido por meio de melhorias na navegação de URL.

  ID de CVE

  CVE-2016-1864: Takeshi Terada da Mitsui Bussan Secure Directions, Inc.

• Histórico do WebKit

  Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11.4

  Impacto: processar conteúdo da web criado com códigos mal-intencionados pode levar a falhas inesperadas do Safari

  Descrição: o problema de esgotamento de recursos foi resolvido por meio da melhoria na validação de entradas.

  ID de CVE

  CVE-2016-1784: Moony Li e Jack Tang da TrendMicro e 李普君 da 无声信息技术PKAV Team (PKAV.net)

• Carregamento de página do WebKit

  Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11.4

  Impacto: um site criado com códigos mal-intencionados pode extrair dados de origem cruzada

  Descrição: havia um problema de cache na codificação de caracteres. Esse problema foi resolvido por meio de verificações adicionais de solicitações.

  ID de CVE

  CVE-2016-1785: um pesquisador anônimo

• Carregamento de página do WebKit

  Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11.4

  Impacto: acessar um site criado com códigos mal-intencionados pode levar à falsificação da interface de usuário

  Descrição: o redirecionamento de respostas pode ter permitido que um site criado com códigos mal-intencionados exibisse um URL arbitrário e lesse os conteúdos de cache da origem/destino. Esse problema foi resolvido por meio de melhorias na lógica de exibição de URL.

  ID de CVE

  CVE-2016-1786: ma.la da LINE Corporation