Sobre o conteúdo de segurança do Safari 8.0.8, Safari 7.1.8 e Safari 6.2.8

Este documento descreve o conteúdo de segurança do Safari 8.0.8, Safari 7.1.8 e Safari 6.2.8.

Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre Segurança do Produto Apple, consulte o site Segurança do Produto Apple.

Para obter mais informações sobre a Chave PGP de Segurança do Produto Apple, consulte Como usar a Chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras Atualizações de segurança, consulte Atualizações de segurança da Apple.

Safari 8.0.8, Safari 7.1.8 e Safari 6.2.8

  • Aplicativo Safari

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 e OS X Yosemite 10.10.4

    Impacto: acessar um site malicioso pode levar à falsificação da interface do usuário

    Descrição: um site malicioso pode abrir outro site e pedir que o usuário insira informações sem saber de onde veio a solicitação. O problema foi solucionado exibindo a origem da solicitação ao usuário.

    ID de CVE

    CVE-2015-3729: Code Audit Labs da VulnHunt.com

  • WebKit

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 e OS X Yosemite 10.10.4

    Impacto: acessar um site criado com códigos mal-intencionados pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: ocorriam diversos problemas de memória corrompida no WebKit. Esses problemas foram solucionados por meio de melhorias no processamento de memória.

    ID de CVE

    CVE-2015-3730: Apple

    CVE-2015-3731: Apple

    CVE-2015-3732: Apple

    CVE-2015-3733: Apple

    CVE-2015-3734: Apple

    CVE-2015-3735: Apple

    CVE-2015-3736: Apple

    CVE-2015-3737: Apple

    CVE-2015-3738: Apple

    CVE-2015-3739: Apple

    CVE-2015-3740: Apple

    CVE-2015-3741: Apple

    CVE-2015-3742: Apple

    CVE-2015-3743: Apple

    CVE-2015-3744: Apple

    CVE-2015-3745: Apple

    CVE-2015-3746: Apple

    CVE-2015-3747: Apple

    CVE-2015-3748: Apple

    CVE-2015-3749: Apple

  • WebKit

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 e OS X Yosemite 10.10.4

    Impacto: um site malicioso pode acionar solicitações de texto simples para uma origem em HTTP Strict Transport Security

    Descrição: ocorreu um erro em que as solicitações do relatório de política de segurança de conteúdo não cumpriram o Strict Transport Security do HTTP. Esse problema foi corrigido por meio de melhorias na imposição de Strict Transport Security do HTTP.

    ID de CVE

    CVE-2015-3750: Muneaki Nishimura (nishimunea)

  • WebKit

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 e OS X Yosemite 10.10.4

    Impacto: o carregamento de imagens pode violar a diretiva de política de segurança de conteúdo de um site

    Descrição: havia um erro em que sites com controles de vídeos carregavam imagens em elementos de objetos que violavam a diretiva de política de segurança de conteúdo do site. Esse problema foi solucionado por meio de melhorias na imposição da política de segurança de conteúdo.

    ID de CVE

    CVE-2015-3751: Muneaki Nishimura (nishimunea)

  • WebKit

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 e OS X Yosemite 10.10.4

    Impacto: solicitações do relatório da política de segurança de conteúdo podem deixar escapar cookies

    Descrição: havia dois problemas no modo como os cookies eram adicionados às solicitações do relatório da política de segurança de conteúdo. Os cookies eram enviados em solicitações de relatório de origem cruzada em violação do padrão. Os cookies definidos durante a navegação usual eram enviados em navegação privada. Esses problemas foram solucionados por meio de melhorias no processamento de cookies.

    ID de CVE

    CVE-2015-3752: Muneaki Nishimura (nishimunea)

  • WebKit Canvas

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 e OS X Yosemite 10.10.4

    Impacto: um site malicioso pode retirar dados de imagem de origem cruzada

    Descrição: imagens de URLs que redirecionavam para um recurso data:image podem ter sido retiradas por origem cruzada. Esse problema foi resolvido por meio de melhorias no processo de rastreamento de manchas de tela.

    ID de CVE

    CVE-2015-3753: Antonio Sanso e Damien Antipa da Adobe

  • Carregamento de página do WebKit

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 e OS X Yosemite 10.10.4

    Impacto: o estado de autenticação em cache pode revelar o histórico de navegação anterior

    Descrição: ocorreu um erro ao salvar em cache a autenticação de HTTP. As credenciais inseridas no modo de navegação anterior foram levadas para a navegação regular, o que pode revelar partes do histórico de navegação privado do usuário. Esse problema foi solucionado por meio de restrições melhoradas do cache.

    ID de CVE

    CVE-2015-3754: Dongsung Kim (@kid1ng)

  • Modelo de processo Webkit

    Disponível para: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 e OS X Yosemite 10.10.4

    Impacto: acessar um site malicioso pode levar à falsificação da interface do usuário

    Descrição: a navegação até um URL com defeito pode ter permitido que um site malicioso exibisse um URL arbitrário. Esse problema foi solucionado por meio da melhoria no processamento de URL.

    ID de CVE

    CVE-2015-3755: xisigr da Tencent's Xuanwu Lab

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: