Sobre o conteúdo de segurança do Safari 6

Este documento descreve o conteúdo de segurança do Safari 6.

Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto da Apple.

Para mais informações sobre a Chave PGP de Segurança do Produto Apple, consulte "Como usar a chave PGP de Segurança do Produto Apple".

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras Atualizações de segurança, consulte "Atualizações de segurança da Apple".

Safari 6.0

  • Safari

    Disponível para: OS X Lion versão 10.7.4 e OS X Lion Server versão 10.7.4

    Impacto: acessar um site criado com códigos maliciosos pode resultar em um ataque de transmissão de script entre sites

    Descrição: havia um problema de emissão de scripts entre sites no processamento do feed:// URLs. Esta atualização remove o processamento do feed:// URLs.

    ID de CVE

    CVE-2012-0678: Masato Kinugawa

  • Safari

    Disponível para: OS X Lion versão 10.7.4 e OS X Lion Server versão 10.7.4

    Impacto: acessar um site criado com códigos maliciosos pode fazer com que arquivos do sistema do usuário sejam enviados para um servidor remoto

    Descrição: havia um problema de controle de acesso no processamento do feed:// URLs. Esta atualização remove o processamento do feed:// URLs.

    ID de CVE

    CVE-2012-0679: Aaron Sigel da vtty.com

  • Safari

    Disponível para: OS X Lion versão 10.7.4 e OS X Lion Server versão 10.7.4

    Impacto: senhas podem ser preenchidas automaticamente mesmo quando o site especifica que o preenchimento automático deve ser desativado

    Descrição: elementos de entrada de senhas com o atributo preenchimento automático definido como "desligado" eram preenchidos automaticamente. Esta atualização trata do problema por meio do processamento aprimorado do atributo preenchimento automático.

    ID de CVE

    CVE-2012-0680: Dan Poltawski da Moodle

  • Transferências do Safari

    Disponível para: OS X Lion versão 10.7.4 e OS X Lion Server versão 10.7.4

    Impacto: abrir arquivos criados com códigos maliciosos em determinados sites pode resultar em um ataque de transmissão de script entre sites

    Descrição: havia um problema na compatibilidade do Safari com o valor 'anexo' para o cabeçalho Conteúdo-Disposição HTTP. Esse cabeçalho é usado por muitos sites para exibir arquivos que foram carregados no site por terceiros, como anexos nos aplicativos de webmail. Qualquer script nos arquivos distribuídos com esse valor de cabeçalho eram executados como se o arquivo tivesse sido distribuído em linha, com acesso total aos outros recursos no servidor de origem. Esse problema é solucionado com a transferência de recursos distribuídos com esse cabeçalho, em vez de exibi-los em linha.

    ID de CVE

    CVE-2011-3426: Mickey Shkatov da laplinker.com, Kyle Osborn, Hidetake Jo em Microsoft e Microsoft Vulnerability Research (MSVR)

  • WebKit

    Disponível para: OS X Lion versão 10.7.4 e OS X Lion Server versão 10.7.4

    Impacto: acessar um site criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: havia diversos problemas de corrupção de memória no WebKit. Esses problemas foram solucionados por meio de melhorias no processamento de memória.

    ID de CVE

    CVE-2011-3016: miaubiz

    CVE-2011-3021: Arthur Gerkis

    CVE-2011-3027: miaubiz

    CVE-2011-3032: Arthur Gerkis

    CVE-2011-3034: Arthur Gerkis

    CVE-2011-3035: wushi do team509 em conjunto com o vice-presidente da iDefense, Arthur Gerkis

    CVE-2011-3036: miaubiz

    CVE-2011-3037: miaubiz

    CVE-2011-3038: miaubiz

    CVE-2011-3039: miaubiz

    CVE-2011-3040: miaubiz

    CVE-2011-3041: miaubiz

    CVE-2011-3042: miaubiz

    CVE-2011-3043: miaubiz

    CVE-2011-3044: Arthur Gerkis

    CVE-2011-3050: miaubiz

    CVE-2011-3053: miaubiz

    CVE-2011-3059: Arthur Gerkis

    CVE-2011-3060: miaubiz

    CVE-2011-3064: Atte Kettunen da OUSPG

    CVE-2011-3068: miaubiz

    CVE-2011-3069: miaubiz

    CVE-2011-3071: pa_kt em conjunto com a Zero Day Initiative da HP

    CVE-2011-3073: Arthur Gerkis

    CVE-2011-3074: Slawomir Blazek

    CVE-2011-3075: miaubiz

    CVE-2011-3076: miaubiz

    CVE-2011-3078: Martin Barbella da Equipe de Segurança do Google Chrome

    CVE-2011-3081: miaubiz

    CVE-2011-3086: Arthur Gerkis

    CVE-2011-3089: Skylined da Equipe de Segurança do Google Chrome, miaubiz

    CVE-2011-3090: Arthur Gerkis

    CVE-2011-3913: Arthur Gerkis

    CVE-2011-3924: Arthur Gerkis

    CVE-2011-3926: Arthur Gerkis

    CVE-2011-3958: miaubiz

    CVE-2011-3966: Aki Helin da OUSPG

    CVE-2011-3968: Arthur Gerkis

    CVE-2011-3969: Arthur Gerkis

    CVE-2011-3971: Arthur Gerkis

    CVE-2012-0682: Segurança de produtos da Apple

    CVE-2012-0683: Dave Mandelin da Mozilla

    CVE-2012-1520: Martin Barbella da Equipe de Segurança do Google Chrome usando o AddressSanitizer, Jose A. Vazquez do spa-s3c.blogspot.com em conjunto com o vice-presidente da iDefense

    CVE-2012-1521: Skylined da Equipe de Segurança do Google Chrome, Jose A. Vazquez do spa-s3c.blogspot.com em conjunto com o iDefense VCP

    CVE-2012-3589: Dave Mandelin da Mozilla

    CVE-2012-3590: Segurança de produtos da Apple

    CVE-2012-3591: Segurança de produtos da Apple

    CVE-2012-3592: Segurança de produtos da Apple

    CVE-2012-3593: Segurança de produtos da Apple

    CVE-2012-3594: miaubiz

    CVE-2012-3595: Martin Barbella da Segurança do Google Chrome

    CVE-2012-3596: Skylined da Equipe de Segurança do Google Chrome

    CVE-2012-3597: Abhishek Arya da Equipe de Segurança do Google Chrome usando o AddressSanitizer

    CVE-2012-3599: Abhishek Arya da Equipe de Segurança do Google Chrome usando o AddressSanitizer

    CVE-2012-3600: David Levin da comunidade de desenvolvimento do Chromium

    CVE-2012-3603: Segurança de produtos da Apple

    CVE-2012-3604: Skylined da Equipe de Segurança do Google Chrome

    CVE-2012-3605: Cris Neckar da Equipe de Segurança do Google Chrome

    CVE-2012-3608: Skylined da Equipe de Segurança do Google Chrome

    CVE-2012-3609: Skylined da Equipe de Segurança do Google Chrome

    CVE-2012-3610: Skylined da Equipe de Segurança do Google Chrome

    CVE-2012-3611: Segurança de produtos da Apple

    CVE-2012-3615: Stephen Chenney da comunidade de desenvolvimento do Chromium

    CVE-2012-3618: Abhishek Arya da Equipe de Segurança do Google Chrome usando o AddressSanitizer

    CVE-2012-3620: Abhishek Arya da Equipe de Segurança do Google Chrome

    CVE-2012-3625: Skylined da Equipe de Segurança do Google Chrome

    CVE-2012-3626: Segurança de produtos da Apple

    CVE-2012-3627: Skylined e Abhishek Arya da Equipe de Segurança do Google Chrome

    CVE-2012-3628: Segurança de produtos da Apple

    CVE-2012-3629: Abhishek Arya da Equipe de Segurança do Google Chrome usando o AddressSanitizer

    CVE-2012-3630: Abhishek Arya da Equipe de Segurança do Google Chrome usando o AddressSanitizer

    CVE-2012-3631: Abhishek Arya da Equipe de Segurança do Google Chrome usando o AddressSanitizer

    CVE-2012-3633: Martin Barbella da Equipe de Segurança do Google Chrome usando o AddressSanitizer

    CVE-2012-3634: Martin Barbella da Equipe de Segurança do Google Chrome usando o AddressSanitizer

    CVE-2012-3635: Martin Barbella da Equipe de Segurança do Google Chrome usando o AddressSanitizer

    CVE-2012-3636: Martin Barbella da Equipe de Segurança do Google Chrome usando o AddressSanitizer

    CVE-2012-3637: Martin Barbella da Equipe de Segurança do Google Chrome usando o AddressSanitizer

    CVE-2012-3638: Martin Barbella da Equipe de Segurança do Google Chrome usando o AddressSanitizer

    CVE-2012-3639: Martin Barbella da Equipe de Segurança do Google Chrome usando o AddressSanitizer

    CVE-2012-3640: miaubiz

    CVE-2012-3641: Slawomir Blazek

    CVE-2012-3642: miaubiz

    CVE-2012-3644: miaubiz

    CVE-2012-3645: Martin Barbella da Equipe de Segurança do Google Chrome usando o AddressSanitizer

    CVE-2012-3646: Julien Chaffraix da comunidade de desenvolvimento do Chromium, Martin Barbella da Equipe de Segurança do Google Chrome usando o AddressSanitizer

    CVE-2012-3653: Martin Barbella da Equipe de Segurança do Google Chrome usando o AddressSanitizer

    CVE-2012-3655: Skylined da Equipe de Segurança do Google Chrome

    CVE-2012-3656: Abhishek Arya da Equipe de Segurança do Google Chrome usando o AddressSanitizer

    CVE-2012-3661: Segurança de produtos da Apple

    CVE-2012-3663: Skylined da Equipe de Segurança do Google Chrome

    CVE-2012-3664: Thomas Sepez da comunidade de desenvolvimento do Chromium

    CVE-2012-3665: Martin Barbella da Equipe de Segurança do Google Chrome usando o AddressSanitizer

    CVE-2012-3666: Apple

    CVE-2012-3667: Trevor Squires da propaneapp.com

    CVE-2012-3668: Segurança de produtos da Apple

    CVE-2012-3669: Segurança de produtos da Apple

    CVE-2012-3670: Abhishek Arya da Equipe de Segurança do Google Chrome usando o AddressSanitizer, Arthur Gerkis

    CVE-2012-3674: Skylined da Equipe de Segurança do Google Chrome

    CVE-2012-3678: Segurança de produtos da Apple

    CVE-2012-3679: Chris Leary da Mozilla

    CVE-2012-3680: Skylined da Equipe de Segurança do Google Chrome

    CVE-2012-3681: Apple

    CVE-2012-3682: Adam Barth da Equipe de Segurança do Google Chrome

    CVE-2012-3683: wushi da team509 em conjunto com o iDefense VCP

    CVE-2012-3686: Robin Cao da Torch Mobile (Pequim)

  • WebKit

    Disponível para: OS X Lion versão 10.7.4 e OS X Lion Server versão 10.7.4

    Impacto: arrastar e soltar um texto selecionado em uma página da web pode gerar a divulgação de informações entre sites.

    Descrição: havia um problema de origem entre sites no processamento de eventos de arrastar e soltar. Esse problema foi solucionado através de melhorias no rastreamento de origem.

    ID de CVE

    CVE-2012-3689: David Bloom da Cue

  • WebKit

    Disponível para: OS X Lion versão 10.7.4 e OS X Lion Server versão 10.7.4

    Impacto: arrastar e soltar um texto selecionado em uma página da web pode fazer com que arquivos do sistema do usuário sejam enviados para um servidor remoto

    Descrição: havia um problema de controle de acesso no processamento de eventos de arrastar e soltar. Esse problema foi solucionado através de melhorias no rastreamento de origem.

    ID de CVE

    CVE-2012-3690: David Bloom da Cue

  • WebKit

    Disponível para: OS X Lion versão 10.7.4 e OS X Lion Server versão 10.7.4

    Impacto: acessar um site criado com códigos maliciosos pode resultar na divulgação de informações entre sites.

    Descrição: havia um problema de origem entre sites no processamento de valores de propriedades CSS. Esse problema foi solucionado através de melhorias no rastreamento de origem.

    ID de CVE

    CVE-2012-3691: Apple

  • WebKit

    Disponível para: OS X Lion versão 10.7.4 e OS X Lion Server versão 10.7.4

    Impacto: um site mal-intencionado pode ser capaz de substituir o conteúdo de iframe em outro site

    Descrição: havia um problema de origem entre sites no processamento de iframes em janelas pop-up. Esse problema foi solucionado através de melhorias no rastreamento de origem.

    ID de CVE

    CVE-2011-3067: Sergey Glazunov

  • WebKit

    Disponível para: OS X Lion versão 10.7.4 e OS X Lion Server versão 10.7.4

    Impacto: acessar um site criado com códigos maliciosos pode resultar na divulgação de informações entre sites.

    Descrição: havia um problema de origem entre sites no processamento de iframes e identificadores de fragmentos. Esse problema foi solucionado através de melhorias no rastreamento de origem.

    ID de CVE

    CVE-2012-2815: Elie Bursztein, Baptiste Gourdin, Gustav Rydstedt e Dan Boneh do Laboratório de Segurança da Universidade de Stanford

  • WebKit

    Disponível para: OS X Lion versão 10.7.4 e OS X Lion Server versão 10.7.4

    Impacto: caracteres com aparência semelhante em um URL podem ser usados para simular um site

    Descrição: o suporte a IDN (International Domain Name) e as fontes Unicode integradas ao Safari podiam ser usadas para criar um URL contendo caracteres de aparência semelhante. Isso poderia ser usado em um site desenvolvido com códigos mal-intencionados para direcionar o usuário a uma página falsa, visualmente semelhante a um domínio legítimo. Esse problema é solucionado ao complementar a lista do WebKit de caracteres de aparência semelhante. Os caracteres semelhantes são renderizados em Punnycore na barra de endereço.

    ID de CVE

    CVE-2012-3693: Matt Cooley da Symantec

  • WebKit

    Disponível para: OS X Lion versão 10.7.4 e OS X Lion Server versão 10.7.4

    Impacto: arrastar e soltar um arquivo no Safari pode revelar o caminho do sistema de arquivos para o site

    Descrição: havia um problema de divulgação de informações no processamento de arquivos arrastados. Esse problema é solucionado por meio da manipulação aprimorada de arquivos arrastados.

    ID de CVE

    CVE-2012-3694: Daniel Cheng da Google, Aaron Sigel da vtty.com

  • WebKit

    Disponível para: OS X Lion versão 10.7.4 e OS X Lion Server versão 10.7.4

    Impacto: acessar um site criado com códigos maliciosos pode resultar em um ataque de transmissão de script entre sites

    Descrição: havia um problema de normalização no processamento de URLs. Isso poderia gerar scripts cruzados entre sites que usam a propriedade location.href. Esse problema é solucionado por meio da normalização aprimorada de URLs.

    ID de CVE

    CVE-2012-3695: Masato Kinugawa

  • WebKit

    Disponível para: OS X Lion versão 10.7.4 e OS X Lion Server versão 10.7.4

    Impacto: acessar um site criado com códigos maliciosos pode causar divisão da solicitação HTTP

    Descrição: havia um problema de injeção de cabeçalho HTTP no processamento de WebSockets. Esse problema é solucionado por meio da sanitização de URI de WebSockets.

    ID de CVE

    CVE-2012-3696: David Belcher da Equipe de Resposta de Segurança a Incidentes da BlackBerry

  • WebKit

    Disponível para: OS X Lion versão 10.7.4 e OS X Lion Server versão 10.7.4

    Impacto: um site criado com códigos mal-intencionados pode falsificar o valor na barra de URL

    Descrição: havia um problema de gerenciamento de estados no processamento do histórico da sessão. A navegação para um fragmento da página atual podia fazer com que o Safari exibisse informações incorretas na barra de URL. Esse problema é solucionado por meio de melhorias no rastreamento de estados.

    ID de CVE

    CVE-2011-2845: Jordi Chancel

  • WebKit

    Disponível para: OS X Lion versão 10.7.4 e Lion Server versão 10.7.4

    Impacto: um invasor pode conseguir escapar do sandbox e acessar qualquer arquivo ao qual o usuário atual tem acesso

    Descrição: havia um problema de controle de acesso no processamento de URLs de arquivos. Um invasor que obtém a execução de código arbitrário em um WebProcess do Safari consegue desviar do sandbox e acessar qualquer arquivo acessível ao usuário que estava executando o Safari. Esse problema foi solucionado por meio de melhorias no processamento de URLs de arquivos.

    ID de CVE

    CVE-2012-3697: Aaron Sigel da vtty.com

  • WebKit

    Disponível para: OS X Lion versão 10.7.4 e Lion Server versão 10.7.4

    Impacto: acessar um site criado com códigos mal-intencionados pode provocar a divulgação do conteúdo da memória

    Descrição: havia um problema de acesso à memória não inicializada na manipulação de imagens SVG. Esse problema é solucionado por meio de uma inicialização aprimorada da memória.

    ID de CVE

    CVE-2012-3650: Apple

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Os riscos são inerentes ao uso da internet. Entre em contato com o fornecedor para obter mais informações. Nomes de outras empresas e produtos podem ser marcas registradas de seus respectivos proprietários.

Data da publicação: