Sobre o conteúdo de segurança do Safari 11

Este documento descreve o conteúdo de segurança do Safari 11.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.

Para obter mais informações sobre segurança, consulte a página sobre segurança de produtos Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

Safari 11

Safari

Disponível para: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 e macOS High Sierra 10.13

Impacto: acessar um site malicioso pode levar à falsificação da barra de endereços

Descrição: um problema de interface de usuário inconsistente foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2017-7085: xisigr do Xuanwu Lab da Tencent (tencent.com)

WebKit

Disponível para: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 e macOS High Sierra 10.13

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-7081: Apple

WebKit

Disponível para: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 e macOS High Sierra 10.13

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.

CVE-2017-7087: Apple

CVE-2017-7091: Wei Yuan da Baidu Security Lab em parceria com a Zero Day Initiative da Trend Micro

CVE-2017-7092: Samuel Gro e Niklas Baumstark em parceria com a Zero Day Initiative da Trend Micro, Qixun Zhao (@S0rryMybad) da Qihoo 360 Vulcan Team

CVE-2017-7093: Samuel Gro e Niklas Baumstark Micro em parceria com a Zero Day Initiative da Trend Micro

CVE-2017-7094: Tim Michaud (@TimGMichaud) da Leviathan Security Group

CVE-2017-7095: Wang Junjie, Wei Lei e Liu Yang da Nanyang Technological University em parceria com a Zero Day Initiative da Trend Micro

CVE-2017-7096: Wei Yuan da Baidu Security Lab

CVE-2017-7098: Felipe Freitas do Instituto Tecnológico de Aeronáutica

CVE-2017-7099: Apple

CVE-2017-7100: Masato Kinugawa e Mario Heiderich da Cure53

CVE-2017-7102: Wang Junjie, Wei Lei e Liu Yang da Nanyang Technological University

CVE-2017-7104: likemeng da Baidu Security Lab

CVE-2017-7107: Wang Junjie, Wei Lei e Liu Yang da Nanyang Technological University

CVE-2017-7111: likemeng do Baidu Security Lab (xlab.baidu.com) em parceria com a Zero Day Initiative da Trend Micro

CVE-2017-7117: lokihardt do Google Project Zero

CVE-2017-7120: chenqin (陈钦) da Ant-financial Light-Year Security Lab

WebKit

Disponível para: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 e macOS High Sierra 10.13

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução universal de scripts entre sites

Descrição: havia um problema de lógica no processamento da aba principal. Esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2017-7089: Anton Lopanitsyn da ONSEC, Frans Rosén da Detectify

WebKit

Disponível para: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 e macOS High Sierra 10.13

Impacto: cookies pertencentes a uma origem podiam ser enviados a outra

Descrição: havia um problema de permissões no processamento de cookies de um navegador. Esse problema foi resolvido deixando de retornar cookies para esquemas de URL personalizados.

CVE-2017-7090: Apple

WebKit

Disponível para: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 e macOS High Sierra 10.13

Impacto: acessar um site malicioso pode levar à falsificação da barra de endereços

Descrição: um problema de interface de usuário inconsistente foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2017-7106: Oliver Paukstadt da Thinking Objects GmbH (to.com)

WebKit

Disponível para: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 e macOS High Sierra 10.13

Impacto: processar conteúdo da web criado com códigos maliciosos podia resultar em um ataque de transmissão de script entre sites

Descrição: a política do cache de aplicativos podia ser aplicada de maneira inesperada.

CVE-2017-7109: avlidienbrunn

WebKit

Disponível para: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 e macOS High Sierra 10.13

Impacto: um site criado com códigos mal-intencionados pode rastrear usuários no Safari no modo de navegação privada

Descrição: havia um problema de permissões no processamento de cookies de um navegador. Esse problema foi resolvido por meio de melhorias nas restrições.

CVE-2017-7144: Mohammad Ghasemisharif do BITS Lab da UIC

Armazenamento do WebKit

Disponível para: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 e macOS High Sierra 10.13

Impacto: dados de sites podem persistir após uma sessão de navegação privada no Safari

Descrição: havia um problema de vazamento de informações no processamento de dados de sites em janelas de navegação privada no Safari. Esse problema foi solucionado com melhorias no processamento de dados.

CVE-2017-7142: Rich Shawn O'Connell, pesquisador anônimo

Outros reconhecimentos

WebKit

Gostaríamos de agradecer a xisigr do Xuanwu Lab da Tencent (tencent.com) pela ajuda.

WebKit

Gostaríamos de agradecer a Rayyan Bijoora (@Bijoora) da The City School, PAF Chapter pela ajuda.

WebKit

Gostaríamos de agradecer a redrain (hongyu da 360CERT) pela ajuda.

Tela cheia do WebKit

Gostaríamos de agradecer a xisigr do Xuanwu Lab da Tencent (tencent.com) pela ajuda.