Sobre o conteúdo de segurança do Safari 10.1.1

Este documento descreve o conteúdo de segurança do Safari 10.1.1.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.

Para obter mais informações sobre segurança, consulte a página sobre segurança de produtos Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

Safari 10.1.1

Lançado em 15 de maio de 2017

JavaScriptCore

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.5

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.

CVE-2017-7005: lokihardt do Google Project Zero

Entrada adicionada em 9 de junho de 2017

Safari

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.5

Impacto: acessar um site criado com códigos maliciosos pode levar a uma negação de serviço no aplicativo

Descrição: um problema no menu do histórico do Safari foi resolvido por meio de melhorias no processamento de memória.

CVE-2017-2495: Tubasa Iinuma (@llamakko_cafe) da Gehirn Inc.

Safari

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.5

Impacto: acessar um site malicioso pode levar à falsificação da barra de endereços

Descrição: um problema de interface de usuário inconsistente foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2017-2500: Zhiyang Zeng e Yuyang Zhou do Tencent Security Platform Department

CVE-2017-2511: Zhiyang Zeng do Tencent Security Platform Department

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.5

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.

CVE-2017-2496: Apple

CVE-2017-2505: lokihardt do Google Project Zero

CVE-2017-2506: Zheng Huang da Baidu Security Lab em parceria com a Zero Day Initiative da Trend Micro

CVE-2017-2514: lokihardt do Google Project Zero

CVE-2017-2515: lokihardt do Google Project Zero

CVE-2017-2521: lokihardt do Google Project Zero

CVE-2017-2525: Kai Kang (4B5F5F4B) do Xuanwu Lab da Tencent (tencent.com) em parceria com a Zero Day Initiative da Trend Micro

CVE-2017-2526: Kai Kang (4B5F5F4B) do Xuanwu Lab da Tencent (tencent.com) em parceria com a Zero Day Initiative da Trend Micro

CVE-2017-2530: Wei Yuan da Baidu Security Lab, Zheng Huang da Baidu Security Lab em parceria com a Zero Day Initiative da Trend Micro

CVE-2017-2531: lokihardt do Google Project Zero

CVE-2017-2538: Richard Zhu (fluorescence) em parceria com a Zero Day Initiative da Trend Micro

CVE-2017-2539: Richard Zhu (fluorescence) em parceria com a Zero Day Initiative da Trend Micro

CVE-2017-2544: 360 Security (@mj0011sec) em parceria com a Zero Day Initiative

CVE-2017-2547: lokihardt do Google Project Zero, equipe Sniper (Keen Lab e PC Mgr), em parceria com a Zero Day Initiative da Trend Micro

CVE-2017-6980: lokihardt do Google Project Zero

CVE-2017-6984: lokihardt do Google Project Zero

Entrada atualizada em 20 de junho de 2017

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.5

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução universal de scripts entre sites

Descrição: havia um problema de lógica no processamento de comandos do WebKit Editor. Esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2017-2504: lokihardt do Google Project Zero

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.5

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução universal de scripts entre sites

Descrição: havia um problema de lógica no processamento de nós de contêiner do WebKit. Esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2017-2508: lokihardt do Google Project Zero

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.5

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução universal de scripts entre sites

Descrição: havia um problema de lógica no processamento de eventos de pageshow. Esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2017-2510: lokihardt do Google Project Zero

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.5

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução universal de scripts entre sites

Descrição: havia um problema de lógica no processamento de quadros em cache pelo WebKit. Esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2017-2528: lokihardt do Google Project Zero

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.5

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.

CVE-2017-2536: Samuel Groß e Niklas Baumstark Micro em parceria com a Zero Day Initiative da Trend Micro

WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.5

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução universal de scripts entre sites

Descrição: havia um problema de lógica no carregamento de quadros. Esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2017-2549: lokihardt do Google Project Zero

Web Inspector do WebKit

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.5

Impacto: um aplicativo pode conseguir executar código não assinado

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-2499: George Dan (@theninjaprawn)

Outros reconhecimentos

Safari

Queremos agradecer a Flyin9_L (ZhenHui Lee) (@ACITSEC) pela ajuda.

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: