Sobre o conteúdo de segurança do Safari 5.1.4

Este documento descreve o conteúdo de segurança do Safari 5.1.4.

Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto da Apple.

Para informações sobre a Chave PGP de Segurança do Produto Apple, consulte "Como usar a chave PGP de Segurança do Produto Apple".

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras Atualizações de segurança, consulte "Atualizações de segurança da Apple".

Safari 5.1.4

• Safari

Disponível para: Windows 7, Vista, XP SP2 ou posterior

Impacto: caracteres com aparência semelhante em um URL podem ser usados para simular um site

Descrição: o suporte a IDN (International Domain Name) no Safari pode ser usado para criar um URL contendo caracteres de aparência semelhante. Isso poderia ser usado em um site de códigos maliciosos para direcionar o usuário a uma página falsa, visualmente semelhante a um domínio legítimo. Esse problema foi resolvido por meio de uma verificação de validade de nome de domínio aprimorada. Esse problema não afeta os sistemas OS X.

ID de CVE

CVE-2012-0584 : Matt Cooley da Symantec

• Safari

Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 ou posterior

Impacto: as visitas às páginas da Web podem ser registradas no histórico do navegador mesmo quando a Navegação Privada estiver ativa

Descrição: a Navegação Privada do Safari foi desenvolvida para impedir o registro de uma sessão de navegação. As páginas acessadas como resultado do uso dos métodos JavaScript pushState ou replaceState por um site foram registradas no histórico do navegador, mesmo quando a Navegação Privada estava ativa. Esse problema foi resolvido ao não se registrarem essas visitas quando a Navegação Privada estiver ativa.

ID de CVE

CVE-2012-0585 : Eric Melville da American Express

• WebKit

Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 ou posterior

Impacto: acessar um site criado com códigos mal-intencionados pode resultar em um ataque de transmissão de script entre sites

Descrição: vários problemas de script entre sites no WebKit

ID de CVE

CVE-2011-3881 : Sergey Glazunov

CVE-2012-0586 : Sergey Glazunov

CVE-2012-0587 : Sergey Glazunov

CVE-2012-0588 : Jochen Eisinger da Equipe do Google Chrome

CVE-2012-0589 : Alan Austin do polyvore.com

• WebKit

Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 ou posterior

Impacto: visitar um site criado com códigos maliciosos pode causar a divulgação de cookies

Descrição: havia um problema de origem cruzada no WebKit que permitia a divulgação de cookies entre origens.

ID de CVE

CVE-2011-3887 : Sergey Glazunov

• WebKit

Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 ou posterior

Impacto: acessar um site criado com códigos maliciosos e arrastar o conteúdo com o mouse pode levar a um ataque de script entre sites

Descrição: havia um problema de origem cruzada no WebKit, que permitia que o conteúdo fosse arrastado e solto entre origens.

ID de CVE

CVE-2012-0590 : Adam Barth da Equipe de Segurança do Google Chrome

• WebKit

Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 ou posterior

Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: havia diversos problemas de corrupção de memória no WebKit.

ID de CVE

CVE-2011-2825 : wushi da team509 que trabalha na Zero Day Initiative da TippingPoint

CVE-2011-2833 : Apple

CVE-2011-2846: Arthur Gerkis, miaubiz

CVE-2011-2847: miaubiz, Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer

CVE-2011-2854 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer

CVE-2011-2855: Arthur Gerkis, wushi da team509 que trabalha na iDefense VCP

CVE-2011-2857 : miaubiz

CVE-2011-2860 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer

CVE-2011-2866 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer

CVE-2011-2867 : Dirk Schulze

CVE-2011-2868 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer

CVE-2011-2869 : Cris Neckar da Equipe de Segurança do Google Chrome usando o AddressSanitizer

CVE-2011-2870 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer

CVE-2011-2871 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer

CVE-2011-2872 : Abhishek Arya (Inferno) e Cris Neckar da Equipe de Segurança do Google Chrome usando o AddressSanitizer

CVE-2011-2873 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer

CVE-2011-2877 : miaubiz

CVE-2011-3885 : miaubiz

CVE-2011-3888 : miaubiz

CVE-2011-3897: pa_kt, que trabalha na Zero Day Initiative da TippingPoint

CVE-2011-3908 : Aki Helin da OUSPG

CVE-2011-3909: Equipe de Segurança do Google Chrome (scarybeasts) e Chu

CVE-2011-3928 : wushi da team509 que trabalha na Zero Day Initiative da TippingPoint

CVE-2012-0591 : miaubiz e Martin Barbella

CVE-2012-0592 : Alexander Gavrun que trabalha na Zero Day Initiative da TippingPoint

CVE-2012-0593 : Lei Zhang da comunidade de desenvolvimento do Chromium

CVE-2012-0594 : Adam Klein da comunidade de desenvolvimento do Chromium

CVE-2012-0595 : Apple

CVE-2012-0596 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer

CVE-2012-0597 : miaubiz

CVE-2012-0598 : Sergey Glazunov

CVE-2012-0599 : Dmytro Gorbunov do SaveSources.com

CVE-2012-0600 : Marshall Greenblatt, Dharani Govindan do Google Chrome, miaubiz, Aki Helin da OUSPG

CVE-2012-0601 : Apple

CVE-2012-0602 : Apple

CVE-2012-0603 : Apple

CVE-2012-0604 : Apple

CVE-2012-0605 : Apple

CVE-2012-0606 : Apple

CVE-2012-0607 : Apple

CVE-2012-0608 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer

CVE-2012-0609 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer

CVE-2012-0610 : miaubiz, Martin Barbella usando AddressSanitizer

CVE-2012-0611 : Martin Barbella usando AddressSanitizer

CVE-2012-0612 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer

CVE-2012-0613 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer

CVE-2012-0614 : miaubiz, Martin Barbella usando AddressSanitizer

CVE-2012-0615 : Martin Barbella usando AddressSanitizer

CVE-2012-0616 : miaubiz

CVE-2012-0617 : Martin Barbella usando AddressSanitizer

CVE-2012-0618 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer

CVE-2012-0619 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer

CVE-2012-0620 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer

CVE-2012-0621 : Martin Barbella usando AddressSanitizer

CVE-2012-0622 : Dave Levin e Abhishek Arya da Equipe de Segurança do Google Chrome

CVE-2012-0623 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer

CVE-2012-0624 : Martin Barbella usando AddressSanitizer

CVE-2012-0625 : Martin Barbella

CVE-2012-0626 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer

CVE-2012-0627 : Apple

CVE-2012-0628 : Slawomir Blazek, miaubiz, Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer

CVE-2012-0629 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome

CVE-2012-0630 : Sergio Villar Senin da Igalia

CVE-2012-0631 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome

CVE-2012-0632 : Cris Neckar da Equipe de Segurança do Google Chrome usando AddressSanitizer

CVE-2012-0633 : Apple

CVE-2012-0635 : Julien Chaffraix da comunidade de desenvolvimento do Chromium, Martin Barbella usando AddressSanitizer

CVE-2012-0636 : Jeremy Apthorp do Google, Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando AddressSanitizer

CVE-2012-0637 : Apple

CVE-2012-0638 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer

CVE-2012-0639 : Abhishek Arya (Inferno) da Equipe de Segurança do Google Chrome usando o AddressSanitizer

CVE-2012-0648 : Apple

• WebKit

Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 ou posterior

Impacto: os cookies podem ser definidos por sites de terceiros, mesmo quando o Safari estiver configurado para bloqueá-los

Descrição: havia um problema na aplicação da política de cookies. Sites de terceiros poderiam definir os cookies se a preferência "Bloquear Cookies" no Safari estivesse definida com a configuração padrão de "De terceiros e anunciantes".

ID de CVE

CVE-2012-0640 : nshah

• WebKit

Disponível para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.3, OS X Lion Server 10.7.3, Windows 7, Vista, XP SP2 ou posterior

Impacto: as credenciais de autenticação HTTP podem ser reveladas de forma não intencional para outro site

Descrição: se um site usar uma autenticação HTTP e redirecionar para outro site, as credenciais de autenticação poderão ser enviadas para o outro site.

ID de CVE

CVE-2012-0647 : um pesquisador anônimo