Sobre o conteúdo de segurança do Safari 8.0.8, Safari 7.1.8 e Safari 6.2.8

Este documento descreve o conteúdo de segurança do Safari 8.0.8, Safari 7.1.8 e Safari 6.2.8.

Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre Segurança do Produto Apple, consulte o site Segurança do Produto Apple.

Para obter mais informações sobre a Chave PGP de Segurança do Produto Apple, consulte Como usar a Chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras Atualizações de segurança, consulte Atualizações de segurança da Apple.

Safari 8.0.8, Safari 7.1.8 e Safari 6.2.8

• Aplicativo Safari

  Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 e OS X Yosemite 10.10.4

  Impacto: acessar um site malicioso pode levar à falsificação da interface do usuário

  Descrição: um site malicioso pode abrir outro site e pedir que o usuário insira informações sem saber de onde veio a solicitação. O problema foi solucionado exibindo a origem da solicitação ao usuário.

  ID de CVE

  CVE-2015-3729: Code Audit Labs da VulnHunt.com

• WebKit

  Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 e OS X Yosemite 10.10.4

  Impacto: acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

  Descrição: ocorriam diversos problemas de memória corrompida no WebKit. Esses problemas foram solucionados por meio de melhorias no processamento de memória.

  ID de CVE

  CVE-2015-3730: Apple

  CVE-2015-3731: Apple

  CVE-2015-3732: Apple

  CVE-2015-3733: Apple

  CVE-2015-3734: Apple

  CVE-2015-3735: Apple

  CVE-2015-3736: Apple

  CVE-2015-3737: Apple

  CVE-2015-3738: Apple

  CVE-2015-3739: Apple

  CVE-2015-3740: Apple

  CVE-2015-3741: Apple

  CVE-2015-3742: Apple

  CVE-2015-3743: Apple

  CVE-2015-3744: Apple

  CVE-2015-3745: Apple

  CVE-2015-3746: Apple

  CVE-2015-3747: Apple

  CVE-2015-3748: Apple

  CVE-2015-3749: Apple

• WebKit

  Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 e OS X Yosemite 10.10.4

  Impacto: um site malicioso pode acionar solicitações de texto simples para uma origem em HTTP Strict Transport Security

  Descrição: ocorreu um erro em que as solicitações do relatório de política de segurança de conteúdo não cumpriram o Strict Transport Security do HTTP. Esse problema foi corrigido por meio de melhorias na imposição de Strict Transport Security do HTTP.

  ID de CVE

  CVE-2015-3750: Muneaki Nishimura (nishimunea)

• WebKit

  Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 e OS X Yosemite 10.10.4

  Impacto: o carregamento de imagens pode violar a diretiva de política de segurança de conteúdo de um site

  Descrição: havia um erro em que sites com controles de vídeos carregavam imagens em elementos de objetos que violavam a diretiva de política de segurança de conteúdo do site. Esse problema foi solucionado por meio de melhorias na imposição da política de segurança de conteúdo.

  ID de CVE

  CVE-2015-3751: Muneaki Nishimura (nishimunea)

• WebKit

  Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 e OS X Yosemite 10.10.4

  Impacto: solicitações do relatório da política de segurança de conteúdo podem deixar escapar cookies

  Descrição: havia dois problemas no modo como os cookies eram adicionados às solicitações do relatório da política de segurança de conteúdo. Os cookies eram enviados em solicitações de relatório de origem cruzada em violação do padrão. Os cookies definidos durante a navegação usual eram enviados em navegação privada. Esses problemas foram solucionados por meio de melhorias no processamento de cookies.

  ID de CVE

  CVE-2015-3752: Muneaki Nishimura (nishimunea)

• WebKit Canvas

  Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 e OS X Yosemite 10.10.4

  Impacto: um site malicioso pode retirar dados de imagem de origem cruzada

  Descrição: imagens de URLs que redirecionavam para um recurso data:image podem ter sido retiradas por origem cruzada. Esse problema foi resolvido por meio de melhorias no processo de rastreamento de manchas de tela.

  ID de CVE

  CVE-2015-3753: Antonio Sanso e Damien Antipa da Adobe

• Carregamento de página do WebKit

  Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 e OS X Yosemite 10.10.4

  Impacto: o estado de autenticação em cache pode revelar o histórico de navegação anterior

  Descrição: ocorreu um erro ao salvar em cache a autenticação de HTTP. As credenciais inseridas no modo de navegação anterior foram levadas para a navegação regular, o que pode revelar partes do histórico de navegação privado do usuário. Esse problema foi solucionado por meio de restrições melhoradas do cache.

  ID de CVE

  CVE-2015-3754: Dongsung Kim (@kid1ng)

• Modelo de processo Webkit

  Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 e OS X Yosemite 10.10.4

  Impacto: acessar um site malicioso pode levar à falsificação da interface do usuário

  Descrição: a navegação até um URL com defeito pode ter permitido que um site malicioso exibisse um URL arbitrário. Esse problema foi solucionado por meio da melhoria no processamento de URL.

  ID de CVE

  CVE-2015-3755: xisigr da Tencent's Xuanwu Lab