Sobre o conteúdo de segurança do Safari 12

Este documento descreve o conteúdo de segurança do Safari 12.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.

Para obter mais informações sobre segurança, consulte a página sobre Segurança do Produto Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

Safari 12

Safari

Disponível para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 e macOS Mojave 10.14

Impacto: um site malicioso pode extrair dados do preenchimento automático no Safari

Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estado.

CVE-2018-4307: Rafay Baloch da Pakistan Telecommunications Authority

Safari

Disponível para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 e macOS Mojave 10.14

Impacto: um usuário pode não conseguir apagar itens do histórico de navegação

Descrição: apagar um item do histórico pode não apagar acessos com cadeias de redirecionamento. O problema foi resolvido por meio da melhoria na exclusão de dados.

CVE-2018-4329: Hugo S. Diaz (coldpointblue)

Safari

Disponível para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 e macOS Mojave 10.14

Impacto: acessar um site malicioso ao clicar em um link pode levar à falsificação da interface de usuário

Descrição: um problema de interface de usuário inconsistente foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2018-4195: xisigr do Xuanwu Lab da Tencent (www.tencent.com)

WebKit

Disponível para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 e macOS Mojave 10.14

Impacto: um site malicioso pode causar um comportamento inesperado de origem cruzada

Descrição: havia um problema de origem cruzada com elementos de iframe. Esse problema foi resolvido por meio de melhorias no rastreamento de origens de segurança.

CVE-2018-4319: John Pettitt do Google

WebKit

Disponível para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 e macOS Mojave 10.14

Impacto: uma interação inesperada causa uma falha ASSERT

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação.

CVE-2018-4191: encontrado por OSS-Fuzz

WebKit

Disponível para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 e macOS Mojave 10.14

Impacto: um site malicioso pode executar scripts no contexto de outro site

Descrição: havia um problema de transmissão de script entre sites no Safari. Esse problema foi resolvido por meio de melhorias na validação de URL.

CVE-2018-4309: um pesquisador anônimo em parceira com a Zero Day Initiative da Trend Micro

WebKit

Disponível para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 e macOS Mojave 10.14

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.

CVE-2018-4299: Samuel Groβ (saelo) em parceria com a Zero Day Initiative da Trend Micro

CVE-2018-4323: Ivan Fratric do Google Project Zero

CVE-2018-4328: Ivan Fratric do Google Project Zero

CVE-2018-4358: @phoenhex team (@bkth_ @5aelo @_niklasb) em parceria com a Zero Day Initiative da Trend Micro

CVE-2018-4359: Samuel Groß (@5aelo)

CVE-2018-4360: William Bowling (@wcbowling)

WebKit

Disponível para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 e macOS Mojave 10.14

Impacto: erros de segurança entre origens incluem a origem do frame acessado

Descrição: esse problema foi resolvido por meio da remoção das informações da origem.

CVE-2018-4311: Erling Alf Ellingsen (@steike)

WebKit

Disponível para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 e macOS Mojave 10.14

Impacto: um site malicioso pode extrair dados de imagem de origem cruzada

Descrição: havia um problema de transmissão de script entre sites no Safari. Esse problema foi resolvido por meio de melhorias na validação de URL.

CVE-2018-4345: Jun Kokatsu (@shhnjk)

WebKit

Disponível para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 e macOS Mojave 10.14

Impacto: uma interação inesperada causa uma falha ASSERT

Descrição: um problema de consumo de memória foi resolvido por meio de melhorias no processamento da memória.

CVE-2018-4361: encontrado por OSS-Fuzz

CVE-2018-4474: encontrado por OSS-Fuzz

WebKit

Disponível para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 e macOS Mojave 10.14

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2018-4312: Ivan Fratric do Google Project Zero

CVE-2018-4315: Ivan Fratric do Google Project Zero

CVE-2018-4197: Ivan Fratric do Google Project Zero

CVE-2018-4314: Ivan Fratric do Google Project Zero

CVE-2018-4318: Ivan Fratric do Google Project Zero

CVE-2018-4306: Ivan Fratric do Google Project Zero

CVE-2018-4317: Ivan Fratric do Google Project Zero

WebKit

Disponível para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 e macOS Mojave 10.14

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2018-4316: crixer, Hanming Zhang (@4shitak4) da Qihoo 360 Vulcan Team

Outros reconhecimentos

WebKit

Gostaríamos de agradecer a Cary Hartline e Hanming Zhang da 360 Vulcan Team, Tencent Keen Security Lab em parceria com a Zero Day Initiative da Trend Micro e Zach Malone da CA Technologies pela ajuda.