Sobre o conteúdo de segurança do Safari 9

Este documento descreve o conteúdo de segurança do Safari 9.

Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre Segurança do Produto Apple, consulte o site Segurança do Produto Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte Como usar a Chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras atualizações de segurança, consulte Atualizações de segurança da Apple.

Safari 9

• Safari

  Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

  Impacto: acessar um site malicioso pode levar à falsificação da interface de usuário

  Descrição: várias inconsistências na interface de usuário podem ter permitido a um site malicioso exibir um URL arbitrário. Esses problemas foram solucionados por meio de melhorias na lógica de exibição de URL.

  ID de CVE

  CVE-2015-5764: Antonio Sanso (@asanso), da Adobe

  CVE-2015-5765: Ron Masas

  CVE-2015-5767: Krystian Kloskowski via Secunia, Masato Kinugawa

• Downloads do Safari

  Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

  Impacto: o histórico de quarentena do LaunchServices pode revelar o histórico de navegação

  Descrição: o acesso ao histórico de quarentena do LaunchServices pode ter revelado o histórico de navegação com base nos downloads de arquivos. Esse problema foi solucionado por meio de melhorias no apagamento do histórico de quarentena.

• Extensões do Safari

  Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

  Impacto: a comunicação local entre as extensões do Safari e os apps associados pode ter sido comprometida

  Descrição: a comunicação local entre as extensões do Safari, como gerenciadores de senha e seus apps associados nativos, pode ser comprometida por outro app nativo. Esse problema foi solucionado por meio de um novo canal de comunicações autenticado entre as extensões do Safari e os apps associados.

• Extensões do Safari

  Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

  Impacto: as extensões do Safari podem ser substituídas no disco

  Descrição: uma extensão do Safari instalada pelo usuário e validada podia ser substituída no disco sem a autorização do usuário. Este problema foi resolvido por meio de melhorias na validação de extensões.

  ID de CVE

  CVE-2015-5780: Ben Toms, da macmule.com

• Navegação segura no Safari

  Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

  Impacto: a navegação para um endereço IP de um site malicioso conhecido pode não ativar um alerta de segurança

  Descrição: o recurso de Navegação segura do Safari não alertou os usuários ao acessarem sites maliciosos conhecidos por seus endereços IP. O problema foi resolvido por meio de melhorias na detecção de sites maliciosos.

  Rahul M (@rahulmfg), da TagsDock

• WebKit

  Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

  Impacto: imagens carregadas parcialmente podem extrair dados nas origens

  Descrição: havia uma condição de corrida na validação das origens de imagens. Esse problema foi solucionado por meio de melhorias na validação das origens de recursos.

  ID de CVE

  CVE-2015-5788: Apple

• WebKit

  Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

  Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

  Descrição: ocorriam diversos problemas de memória corrompida no WebKit. Esses problemas foram solucionados por meio de melhorias no processamento de memória.

  ID de CVE

  CVE-2015-5789: Apple

  CVE-2015-5790: Apple

  CVE-2015-5791: Apple

  CVE-2015-5792: Apple

  CVE-2015-5793: Apple

  CVE-2015-5794: Apple

  CVE-2015-5795: Apple

  CVE-2015-5796: Apple

  CVE-2015-5797: Apple

  CVE-2015-5798: Apple

  CVE-2015-5799: Apple

  CVE-2015-5800: Apple

  CVE-2015-5801: Apple

  CVE-2015-5802: Apple

  CVE-2015-5803: Apple

  CVE-2015-5804: Apple

  CVE-2015-5805

  CVE-2015-5806: Apple

  CVE-2015-5807: Apple

  CVE-2015-5808: Joe Vennix

  CVE-2015-5809: Apple

  CVE-2015-5810: Apple

  CVE-2015-5811: Apple

  CVE-2015-5812: Apple

  CVE-2015-5813: Apple

  CVE-2015-5814: Apple

  CVE-2015-5815: Apple

  CVE-2015-5816: Apple

  CVE-2015-5817: Apple

  CVE-2015-5818: Apple

  CVE-2015-5819: Apple

  CVE-2015-5821: Apple

  CVE-2015-5822: Mark S. Miller, do Google

  CVE-2015-5823: Apple

• WebKit

  Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

  Impacto: um invasor pode criar cookies inesperados para um site

  Descrição: o WebKit aceitaria a definição de vários cookies no API document.cookie. Esse problema foi solucionado por meio de melhorias na análise.

  ID de CVE

  CVE-2015-3801: Erling Ellingsen, do Facebook

• WebKit

  Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

  Impacto: o API Performance pode permitir que um site malicioso vaze o histórico de navegação, atividade de rede e movimentos do mouse

  Descrição: o API Performance do WebKit pode ter permitido o vazamento do histórico de navegação, atividade da rede e movimentos do mouse em um site malicioso por meio da medição do tempo. Esse problema foi resolvido limitando a solução de tempo.

  ID de CVE

  CVE-2015-5825: Yossi Oren et al. do Network Security Lab da Columbia University

• WebKit

  Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

  Impacto: acessar um site malicioso pode resultar em discagem não esperada

  Descrição: havia um problema no processamento de URLs tel://, facetime:// e facetime-audio://. Esse problema foi resolvido por meio de melhorias no gerenciamento de URLs.

  ID de CVE

  CVE-2015-5820: Guillaume Ross, Andrei Neculaesei

• CSS do WebKit

  Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

  Impacto: um site malicioso pode extrair dados de origem cruzada

  Descrição: o Safari permitia o carregamento de folhas de estilo de origem cruzada com tipos MIME não CSS, que podiam ser usadas para extrair dados de origem cruzada. Esse problema foi resolvido limitando os tipos MIME para folhas de estilo de origem cruzada.

  ID de CVE

  CVE-2015-5826: filedescriptior, Chris Evans

• Vinculações de JavaScript do WebKit

  Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

  Impacto: referências de objetos podem causar vazamento entre origens isoladas em eventos personalizados, eventos de mensagem e eventos de estado pop

  Descrição: um problema de vazamento de objetos rompeu o limite de isolamento entre origens. Esse problema foi resolvido por meio de melhorias no isolamento entre origens.

  ID de CVE

  CVE-2015-5827: Gildas

• Carregamento de página do WebKit

  Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

  Impacto: o WebSockets pode ignorar a imposição da política de conteúdo misto

  Descrição: um problema de imposição insuficiente de política permitia ao WebSockets carregar conteúdo misto. Esse problema foi resolvido estendendo a imposição da política de conteúdo misto para o WebSockets.

  Kevin G. Jones, da Higher Logic

• Plug-ins do WebKit

  Disponível para: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 e OS X El Capitan 10.11

  Impacto: os plug-ins do Safari podiam enviar uma solicitação HTTP sem saber que a solicitação foi redirecionada

  Descrição: o API de plug-ins do Safari não comunicava aos plug-ins que havia ocorrido um redirecionamento por parte do servidor. Isso podia levar a solicitações não autorizadas. Esse problema foi resolvido por meio de melhorias no suporte de API.

  ID de CVE

  CVE-2015-5828: Lorenzo Fontana

O FaceTime não está disponível em todos os países ou regiões.